公司系统被攻击

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

RANDOM.org 密码生成器

uBlock

Authy

LastPass

FreebuF.com

Beebeeto

Dashlane 密码管理器

这是一个创建于 521 天前的主题，其中的信息可能已经有所发展或是发生改变。

背景

最近公司 web 应用系统（部署在 aliyun ）被攻击。索性以前做过等保也或许是因为发现的及时，ban 了对方 ip ，所以没出啥事儿。但事后复盘还是有点不爽，想问问诸位大佬，在安全、风控之类的事情上是怎么做的。

疑问

我该如何通过已有的对方 ip 知道对方是什么样的公司 or 人（目前 aliyun 已经反馈那一批 ip 都是一个公司的，但涉及隐私，无法告知公司名称）。结合一些对方渗透的手段，我们怀疑可能跟公司内部信息泄露（比如离职员工）有关，所以比较好奇对方的信息。不过这个好像涉及黑产了，应该正常渠道是获取不到的，如果有门路的老哥，可以提点下老弟。
大家有用到哪些封控产品或者阅读过哪些和风控 or 监控 or 安全相关的文章，欢迎分享。
- 我知道的 aliyun 有 WAF （应用防火墙），不过在上述事情上面，waf 没有发挥任何作用。。。
- 还有一些比如类似代理的产品（就是流量会经过它，它会对 ip 进行甄别），好像也都没啥用，感觉还是得有一套针对用户行为分析的东西。

第 1 条附言 2024-05-14 21:17:34 +08:00

Q&A

@whileFalse 絮絮叨叨这么多也没说是什么攻击

我的，我特意写了 web 服务，想省事少码几个字，看来还是想多了。攻击基本都有覆盖，我说几个他们量比较大的：密码暴力破解（有些管理系统没有用动态口令登录）、路径遍历、注入（脚本和 sql）、还有一些软件的低版本漏洞

第 2 条附言 2024-05-14 21:27:23 +08:00

@billzhuang 可以让阿里云看看，WAF 为什么没有拦截这些请求。

这个我没说清楚，就是比如一些常见的规则，waf 是可以的，这里我举个例子，假设某个网站为了防止爬虫，它有个简单规则比如 qps <1000 /s,如果大于就屏蔽 ip or 用户一段时间。这是我是攻击者，我按照 100qps 进行爬虫，我就是正常的用户。我表达的是，waf 是通配的基础规则，针对每家公司特殊的要求好像还是得自己设计。

第 3 条附言 2024-05-14 21:38:25 +08:00

安全攻击类型分布

其他 29.59%
代码执行 21.01%
本地文件包含 20.46%
SOL 注入 17.03%
webshell 11.83%
跨站脚本 0.08%

第 4 条附言 2024-05-14 21:54:06 +08:00

我在描述的时候其实把两个问题混着说了，就是我们部分应用是不在 waf 的保护范围内的，而这些应用被对方扫描到了，然后发起攻击，服务器打过来了好多流量，带宽翻了几番。
所以解决办法很简单，要不要把这些应用也加到 waf 里面。
然后业务上的一些规则，还是得看自己业务需求然后定制风控逻辑，然后这一点想问问大家有啥推荐的工具算法啥的，比如策略引擎之类的。

感谢大家回复

第 5 条附言 2024-05-15 10:55:54 +08:00

此贴完结：

今天得知是客户请了专业公司在搞攻防演练，因为我们部分服务嵌入在对方应用，所以人家攻防演练时把我们也捎带了，那几个 ip 是那个公司的 ip 。。。

攻击

风控

安全

39 条回复 2024-05-16 13:19:50 +08:00

billzhuang

2024-05-14 20:05:59 +08:00 via iPhone

可以让阿里云看看，WAF 为什么没有拦截这些请求。

whileFalse

2024-05-14 20:20:53 +08:00 via Android

絮絮叨叨这么多也没说是什么攻击

Od37v61n5s89gXx8

2024-05-14 21:17:58 +08:00 via iPhone

公司是自己的吗？是的话也可以去找黑产搞回去。不是的话，那是老板给你的工作量不够，看你闲的

boseqc35

2024-05-14 21:24:37 +08:00

waf 是可以 bypass 的，建议找白帽给你们做一波渗透，该补补，该修修

nerocho

2024-05-14 21:29:22 +08:00

@lxh1983 公司是老板的，我也没有拿分红。我只是单纯好奇大佬都是怎么做的

nerocho

2024-05-14 21:32:19 +08:00

@boseqc35 感觉外面公司做的效果强度，完全没法跟最近经历的这个团队相比较，我们每年都有很多次渗透，比如安恒、三叶草等。。。

boseqc35

2024-05-14 21:36:16 +08:00

@nerocho 那怎么还一堆遍历、注入

nerocho

2024-05-14 21:39:36 +08:00

@boseqc35 #7 这个是我们的问题，因为 waf 域名愈多得加愈多的钱，有些边缘系统是没有 waf 的 buff 加成的。

xguanren

2024-05-14 21:40:22 +08:00

你要知道他做了什么才能去做防护手段呀.先打好日志.做好蜜罐,看看对方究竟是使用了什么手段吧.因为你没有说对方究竟是干了什么.是爬取信息了还是入侵攻击你们了.还是 ddos cc 你们了..对方不出拳.你去猜测对方使用了什么功法.你怎么知道呢...无非就是前期上一些通用规则呗.就好像你说的 aliyun 的 waf 经过很多年发展.内置了一套模型去甄别.但是具体还是要看你们公司遭遇了什么

CloudMx

2024-05-14 21:41:11 +08:00

感觉就是扫描器在扫你们...

aqqwiyth

2024-05-14 21:44:28 +08:00

访问日志包括 IP 时间记录一下 , 有时候会有叔叔上门问你.

( 一年公司一个业务前因为被攻击, 然后去年底叔叔说抓到一个团伙发现有你们被攻击的痕迹是否可以提供证据, 损失可以追偿)

nerocho

2024-05-14 21:50:42 +08:00

嗯，记录都有的。

izoabr

2024-05-14 22:05:47 +08:00

可以报警吧

nerocho

2024-05-14 22:08:43 +08:00

@izoabr 明天去了和同事聊聊，可以报一个。

F7TsdQL45E0jmoiG

2024-05-14 23:30:22 +08:00

除非特别有针对性的编写 WAF 的策略，否则就当没有 WAF

whileFalse

2024-05-14 23:52:01 +08:00 via Android

我对 aws waf 比较熟，aws 中暴力破解可以用访问频率限制防住，注入可以用标准的反注入规则防，路径遍历和漏洞基本就不归 waf 管了，但可以通过 ip 白名单等其他方式提高安全性。能防住的这些也要根据你的业务去针对性的设置并根据 waf 日志不断调整，安全层面的东西不是一蹴而就的，你面对的攻击者是活人。