M1课程——安全发展与现状(2019-02-18)

安全发展与现状

一、中国黑客的发展历史:

一句话概括:90年代初的起源,97到99的发展,21世纪初的黑暗,以及到了今天。

作者大佬说了那么多,竟然没有提到乌云,方大佬吐了一口血。

二、活跃在圈内的大佬:

活跃的大佬很多,希望自己过几年也成为大佬。

[if !supportLists]• [endif]腾讯:tk、袁哥、killer、吴石、coolc,泉哥等

[if !supportLists]• [endif]360:MJ001、冰刃、陆羽、杨卿等

[if !supportLists]• [endif]阿里:道哥、flashsky、alert7、cnhawk、xundi、xi4oyu等

[if !supportLists]• [endif]百度:马杰、兜哥等

[if !supportLists]• [endif]以及:黑哥、IC、老杨、赵武、云舒、老马哥哥、TB、only_guets、凌晨的p0tt1黑客叔叔、江南天安伤心的鱼、呆神、gainover、Jannock、ringzero等等,总之很多。

三、近几年来,黑客大赛和黑客会议也成为了一种常态:

各种CTF,还有一些值得参加的会议:XCon、KCon、FSI、MOSEC等。

四、漏洞挖掘和赏金计划:

sobug、hackerone、补天、先知、各大SRC等等,只要技术好,多挖漏洞,多提漏洞,就可以多拿奖金。hackerone有很多公开的漏洞报告,可以了解下。

总之,这十年来,中国黑客或者说中国安全行业的发展是很快的,整体大环境也在发生天翻地覆的变化,更多的机会、更大的竞争,主要还是看个人怎么把握。


黑客是如何入侵服务器实现批量挖矿

挖矿一般都是批量化和自动化的入侵行为,为了批量入侵成功,利用的漏洞一般是通用类漏洞,比如说,Redis未授权访问,课程也用这个作为案例讲解。

一、挖矿是黑客入侵服务器后做的肉鸡利用行为

1.查找存在 Redis 服务器的机器

方法:根据Redis 的组件指纹去寻找 Redis服务器。

[if !supportLists]• [endif]组件指纹是指组件独有的东西;

[if !supportLists]• [endif]服务类组件的指纹一般是它默认开放的端口;

[if !supportLists]• [endif]Redis默认开放在6379端口。

上面总结有点生硬,反正意思是说,你能找得到6379 端口,就基本找到了 Redis服务器。

你可能会问,为什么说基本呢?这里会有一个问题,如果修改了Redis默认端口,或者其他服务器用了6379端口,就会存在准确性的问题。其实对黑产来说,只要覆盖到大部分的漏洞利用情况就能获得不错的效果,就算有偏差,也是没有关系的。

对于这种批量化的入侵,防范方法是将Redis服务的默认6379端口都修改为其他端口。

2.查找这些 Redis 服务器中存在未授权问题

方法:用Python脚本实现尝试连接到 Redis服务然后进行 get操作。

[if !supportLists]• [endif]如果没有密码限制,则可以操作成功;

[if !supportLists]• [endif]如果6379 端口是其他服务,应该操作是失败的;

[if !supportLists]• [endif]不存在Redis 未授权访问问题或者不是 Redis 服务,则将会返回效验失败等提示。

例如,可以看下面的Python 脚本:


M1课程——安全发展与现状(2019-02-18)_第1张图片

代码分析:通过socket 尝试去连接服务器的6379端口,并发送 GET 请求,同时去判断 recv 接收到的 data内容,如果是 redis 服务,并不存在未授权访问问题,那么会提示-NOAUTH,返回失败;如果不是redis 服务,会返回对应的提示;如果是 redis 服务,并存在未授权访问问题,那么返回的内容是正确的内容。

对于未授权访问的防范方法是:设置密码。

3.模拟存在未授权访问的 Redis服务器机器过程:

这部分演示入侵的目的是:让大家知道入侵过程是这样的,提高自己的认知,了解就可以了。

这个过程可以总结为下图这样:


M1课程——安全发展与现状(2019-02-18)_第2张图片

二、利用其它的漏洞进行挖矿

[if !supportLists]• [endif]Hadoop REST API 未授权访问

[if !supportLists]• [endif]弱口令

[if !supportLists]• [endif]具有执行命令能力、写文件

三、为什么黑客喜欢利用NDAY进行恶意攻击?

因为漏洞不可能被所有人都修复,所以nday 才能会被一直重复利用。虽然nday利用比较麻烦,但是互联网的服务足够大,满足攻击条件的目标服务也很多。比如,获取 Redis服务器 Root 权限需要满足:

[if !supportLists]• [endif]服务上存在Redis 服务;

[if !supportLists]• [endif]Redis 服务是以 root 启动,这样才能获得 root 权限;

[if !supportLists]• [endif]服务必须绑定在0.0.0.0,这个这样黑客才能在外网访问 Redis服务;

[if !supportLists]• [endif]存在未授权问题,这样黑客才能直接连接上去操作。

看似利用条件很麻烦,但是据统计,基于全网43亿 IPV4,满足这些条件的Redis至少就存在5万台服务器,能被利用的数量相当大。

总结一下,通过黑产利用漏洞挖矿的攻防问题,目的是让大家了解常见的攻击场景和方法,提高自己的安全认知。希望大家在以后学习相关技能方法后,能够坚守底线,不要去做恶意利用。

你可能感兴趣的:(M1课程——安全发展与现状(2019-02-18))