作者:田民
当IT外包遇到暴力破解时,云盾出现了。
暴力破解攻击是阿里云用户面临的最主要威胁之一。在阿里云云盾的日常安全运营中,每周黑客对阿里云用户的暴力破解数量高达数亿次。下图是最近两个月来阿里云用户遭到暴力破解攻击的趋势图:
在上图中,我们可以看出,从6月初到7月底,每周对阿里云用户的暴力破解攻击数量平均在5亿次。在这5亿次攻击中,攻击目标分布如下(7.21-7.27数据):
其中对操作系统的攻击数量最多,对数据库的攻击也占到了近40%。
数据库暴力破解是指黑客通过字典等方式对数据库的超管账号root密码进行猜测的过程。我们知道,root账号和密码是连接数据库的钥匙,一旦root密码被成功“暴破”,数据库的安全也将不复存在。在阿里云云盾检测到的数据库的暴力破解中,很大程度上是对MySQL数据库的暴力破解。
谈到这里,在前不久,阿里云云盾在日常运营中刚好发生了一件有意思的MySQL暴力破解事件。当时,云盾检测到某人不断尝试登录某阿里云用户的MySQL数据库,且所有登录尝试均未成功。于是,云盾启动暴力破解防护机制,主动将该登录IP放到了黑名单中,该IP的所有登录行为均被阻断。
很快,用户网站的运营负责人打来电话,说明了情况,要求将被“拉黑”的IP解封——这其实是一场IT外包工作上的小问题引发的“误会”。
该网站的运维是外包给另外一家公司来进行,当时外包公司的运维人员操作数据库时由于密码不正确造成登录失败,不想不断地错误登录触发了云盾的暴力破解防护,被“果断”封杀。
虽然由于云盾的防护对该用户的数据库操作产生了一些“影响”,但是用户认为,从安全角度上考虑,这种“影响”恰恰体现了云盾对数据库的有效防护,是非常必要的,并表示经过这个事情之后,会保证云盾的全天候启用。当然,也会对外包人员进行必要的培训,防止类似事情的再次发生。
阿里云安全团队提醒各位阿里云用户,暴力破解一直是网站的重要威胁之一,黑客通过对操作系统、数据库以及诸如FTP等应用的暴力破解一方面可以获得相应的权限进行完成控制服务器的目的,另一方面,黑客也可能通过暴力破解以你的服务器为跳板攻击其它系统。因此,为了您和他人系统的安全,请各位网站站长全天候开启阿里云云盾。