2月19日,牛年开工第二天,上午10:00,网安信安全运维工程师正在对旗下客户进行例行的人工安全巡查,意外发现某IPFS矿场客户的一台服务器上多出一个非常奇怪的用户,用户名为“aaa3“,令人担忧的是,这个用户的创建与变更记录均不在该客户的日常操作日志里面,说明这个用户是刻意避开网安信堡垒机直接登录服务器进行了某些操作,出于职业敏感,网安信安全运维工程师第一时间就判断该用户为非正常用户。
通过进一步观察,网安信安全运维工程师发现“aaa3”用户居然执行了一项“su”命令。经常接触Linux操作系统的人都知道,su(英文全拼:swith user)命令一般用于将使用者变更为超级用户。要知道,超级用户就意味着拥有这台服务器的所有操作权限,也就是说这台服务器对“aaa3”用户已经没有任何限制,他想干嘛就干嘛,如果是恶意行为,后果将不堪设想,轻则引起数据泄露,重则服务器被挂马,造成的损失将无法估量,危害性极大。
这就必须引起重视了。网安信运维工程师立即进行更加周密的观察,发现“aaa3”用户是刚刚创建不久,还没有进行更加深入的操作,这台服务器暂时安全。可是随着观察的不断深入,网安信安全运维工程师又陆续发现在客户服务器曾经创建过aaa、aaa2等用户,而且都是在最近几天创建,但已经被删除了,与aaa3用户一样,aaa、aaa2用户也都没有通过网安信堡垒机登录服务器,而是直接登录服务器,还进行了多次大文件传输,不过值得庆幸的是,上述操作都没有对客户服务器造成比较明显的危害。
由于无确定上述异常用户的具体性质,网安信运维工程师与该区块链矿场客户的技术负责人取得联系,详细反馈了相关情况。起初该客户的技术负责人也不清楚是什么原因,但通过传输的文件类型和内容,该技术负责人初步判断应该是他们公司内部人员所为。
为防止事态继续发展,该技术负责人立刻启动应急小组,对每一位技术人员进行询问,经过近30分钟的排查,终于知道是公司的一名技术人员因嫌通过网安信堡垒机登录服务器传输文件速度过慢,擅自违反公司相关规章制度,未严格按照操作手册使用堡垒机登录服务器传输文件,私自创建“aaa、aaa2、aaa3”等用户,直接登录服务器进行文件传输。显然,这样做,虽然文件传输速度提升了,但安全问题却被无限扩大了。无疑,该区块链矿场客户公司存在内部管理松散、缺乏有效监管机制以及技术人员操作权限过大等诸多严重安全隐患,稍有不慎,可能会给公司带来巨额经济损失。
因此,网安信在此呼吁,请广大处于快速发展期的企业,尤其是拥有大量数字资产或用户资产的行业(包括区块链、游戏、互联网金融、电商等)企业都积极行动起来,不断加强企业内部管理,制定严格的监管机制并遵照执行,特别是对拥有操作权限的技术人员进行责权分明的分权管理,只有这样才能有效规避因企业内部原因造成的网络安全事故。
来源:freebuf.com 2021-03-08 11:41:27 by: 网安信科技wax
请登录后发表评论
注册