极客网CEO李海刚:不能说的云主机安全

《极客网》9月5日(北京)

近日,我创办的科技金融新媒体《极客网》遭遇了一场前所未有的重大安全事故:云主机中所有网站数据被黑客删除,并上传了几十万条垃圾信息!三年积累,险些毁于一旦!呜呼!

幸好有备份,我们快速恢复数据,在第二天的晚间,《极客网》恢复了所有数据,网站重新上线。然而,更糟糕的一幕发生了。不到两小时,数据再次被删得一干二净。嚣张的黑客还留下QQ,明目张胆地进行敲诈勒索!直气得我魂飞天外……

作为一家创业型新媒体公司,我们并没有专业的安全团队。遇到这种问题,只能四处求救。然而,懂安全的朋友,要么功力不够,要么工作太忙,无瑕顾及。无奈之下,只能自己动手。幸好,笔者混过两年华为,有些技术功底,于是,一场没有硝烟的战争就这样开始了!

漏洞在哪?

直觉告诉我,漏洞要么在程序,要么在主机。而程序层面的黑客攻击更容易,也更常见。于是,我决定先从网站程序上下手!

当前,市场上有很多公开、免费的木马、漏洞扫描工具。360、百度、腾讯等多家互联网巨头都有相应产品。其中,360是安全起家,让人感觉他的产品会更专业一些。于是,我用360的“webscan”来扫描网站程序。好消息是,扫描结果显示我的网站程序是“100分”,但遗憾的是,这是个错误的结果,360并没有帮我找出木马。看来,安全市场,不能崇拜“权威”!

就在我手足无措之时,一位在某安全公司供职的朋友,提供给我一个木马查杀脚本,是他手动编写的。据称,该脚本融合了最新的木马特征库,还能查出“加过壳”的变种木马。运行之后,果然有效!通过这个脚本,我们发现了30多个木马程序,这些程序威力非常大,它们不仅能够在服务器上建立、删除、生成文件,还能自我复制!更重要的是,这些木马能够躲过大部分主流杀毒软件的查杀!真是厉害!

接下来,清理木马,升级程序,封堵漏洞……一番折腾后,《极客网》终于重新上线!本以为,这回应该是万无一失了。然而,就在当天夜里。数据再次被删!抓狂!

为了找到问题根源,我删掉了所有程序文件,只保留静态网页,服务器禁止一切程序脚本运行。安装防火墙和监控软件……但网页文件还是被删。这时我终于意识到,黑客已经获取了我的云主机权限!

果然,我们在云主机系统中找到了黑客的镜像账户。

找到了病根,就好办了!删除镜像账户,重新规划所有用户和权限,更改密码,系统加固……一系列整改之后,《极客网》终于重新上线。

接下来的一周,我们的数据没有被删,读者终于可以正常访问《极客网》了。不过,好景不长,另一个令人缠手的安全问题又来了!

没完没了的CC攻击和DDos攻击

删不了数据,就来拒绝服务攻击(CC攻击和DDos攻击),黑客们也是满拼的!

不过,令我不解的是,作为一家本分的科技金融新媒体,我们没有得罪过什么黑客组织啊,到底是谁盯上我们了呢?一位在安全领域摸爬滚打多年的老朋友突然打电话来,告诉了我这一切的根源。

他说,我们网站的webshell(管理权限)在“黑市”上被卖了,而且叫价很高。估计是想劫持我们的流量,然后通过其它非法途径变现!当前,“黑市”上高质量科技新媒体网站很受欢迎,36kr,虎嗅,bianews等网站都有很多人在盯!

听了朋友的解说,顿觉毛骨悚然。创业本来就不易,还要每天面对黑客的攻击。不管我们是否愿意相信,当前,网络安全经已成为困扰互联网创业者的最大问题之一。

《极客网》最终还是没有抗过黑客的拒绝服务攻击,8月12日晚7点,网站宕机!我马上致电我们的云主机供应商(鹏博士旗下北京息壤),得到的回复是:我们的网站遭遇1.6G流量攻击,已经影响到所在IP网段其它云主机正常运行,我们的IP直接被机房屏蔽。

北京息壤技术回复的工单

1.6G攻击都抗不住?那以后不是要天天宕机?据笔者了解,在当前网络环境中,有组织的黑客攻击非常常见,流量攻击的体量动辄就是十几G,几十G!看到这里,大家也许会问:是黑客太厉害,还是云主机服务提供商不给力?

一位在IDC领域的创业朋友告诉我,北京机房的带宽资源非常紧张,最大硬抗也只有10G,能抗过5G流量攻击的已算中上水平。所以,北京机房的云主机应对流量攻击的惯用办法就是直接屏蔽IP。而《极客网》所用的云主机恰在北京,在遇到1.6G流量攻击的情况下被屏蔽IP,是再平常不过的事了。哎!看来,换云主机已是必然!

在朋友帮助下,《极客网》搬到了新的机房,据服务商介绍,现在《极客网》所在的机房是高防机房,最高能够抵抗320G的流量攻击。截目笔者发稿,CC攻击和DDos攻击还偶尔会有,但《极客网》新主机一切正常!

被蒙上眼睛的云主机用户

经过数年发展,中国云主机市场已相对成熟,越来越多的用户开始选择云主机。市场中也涌现出一大批云主机供应商,其中不乏阿里、腾讯这样的互联网巨头。这些巨头的加入,不仅大大提高了云主机行业的整体服务水平,也让“云”这种全新的产品形式快速地被大众接受。

然而,正是这些强势财团的加入,让云主机市场变得越来越不透明。他们强大的公关能力,遮住了用户的双眼。用户通过媒体看到的全部都是云主机的好处,而不好的地方、安全风险都被过滤掉了。笔者在解决这次安全事故的过程中,就发现不少与云主机有关的潜在的隐患和安全风险。而这些东西,普通用户很难发现!比如,笔者近日撰写的一篇博文,由于涉及国内某知名云主机供应商的安全问题,上线几个小时后突然被强制下线(不多说,你懂的)!

不过,我想说的是,互联网强调分享,在社交网(媒)络(体)如此发达的今天,没有什么信息可以被彻底封锁。云主机服务提供商要想被更多用户认可、喜爱,最该做的事,应是直面各种问题,做出更好、更可靠、更安全的产品。

接下来,笔者将撰写一系统云主机相关文章,竭尽所能,帮助大家甄选出适合自己业务发展的云主机产品。大家可以持续关注《极客网》云主机频道或我的专栏!(完)

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2015-09-05
极客网CEO李海刚:不能说的云主机安全
《极客网》9月5日(北京)近日,我创办的科技金融新媒体《极客网》遭遇了一场前所未有的重大安全事故:云主机中所有网站数据被黑客删除,并上传了几十万条垃圾信息!三年积累,险些毁于一旦!呜呼!幸好有备份,我们快速恢复数据,在第二天的晚间,《极客网》恢复了所有数据,网站重新

长按扫码 阅读全文