腾讯云——请不要动我的奶酪

2017-06-20 17:16:18 +08:00
 hpayton
最近用腾讯云着实被气到了!
假借安全的名义对我的数据进行侵犯,是可忍孰不可忍!
虽然我是屌丝,但是我也有尊严,请不要随意践踏!!
既然你要偷窥我数据,那我就翻一下你的老底,让大家看看腾讯云究竟是如何窥探数据的,来揭露你的丑恶行径。
因为本人比较土,只会用乌班图,所以就采用全新的 Ubuntu 14.04 系统。

装好系统后,首先检查开机进程数,腾讯云默认的开机进程数在 83 个。

扫了一眼腾讯云的进程列表,看到了有三个明显是腾讯云的监控进程和三个疑似监控进程。
如下图所示,我都圈出来了,虽然这个考试不会考=。=|||。

Watchdog 顾名思义,一看就不是什么好鸟。Anyway,打开看看,里面究竟是个啥。

由于是明文(这是赤裸裸侵犯的铁证),我们可以直接看到,watchdog 主要是用于唤醒 secu-tcs-agent-mon.safe.sh 这个文件。通过这么长而且分段的文件名,那么我推测它应该是一个监控进程。那么就继续看这个文件吧。

这个文件的作用主要是来唤起 secu-tcs-agent 进程,而 secu-tcs-agent 就是所谓的腾讯云“安全客户端”,它就相当于一个特洛伊木马,笔直地插在我的服务器上。

继续分析,依旧是脚本(不难看出,腾讯的安全能力是多么暴力,用这堆脚本就开始随意践踏我的数据了)。继续分析这个进程的日志后,发现 sgagent 的主要作用是唤起上级目录中 monitor/barad/admin 目录下的 trystart.sh 这个文件。
继续分析 trystart.sh

这个文件启动了 bin 目录下的 agent.py 文件。这个文件会启动我们最后要分析的 brand_agent 进程(它就是一切行为的元凶)。这个进程的主要工作就是收集系统的各项信息如磁盘信息、内存信息、CPU 信息、TCP 端口信息等,再上报给云监控服务。
最后,回过头来看看 secu-tcs-agent 进程。这个进程本身不执行太多的工作,主要是调用其插件发送信息。按照目录和插件的特性,感觉只要 agent 愿意,啥东西他都能看,而且真的能看。因为它直接就能在你机器上执行,而且可以运行任何命令和脚本!


根据提示,可以看出 SAP1004 主要上传了三个日志信息。至于 SAP1005 上传了哪些内容,就需要对这两个文件进行解码,然后还原真实的数据了。当然这个不难,把编码的 agent 拖进 ida 里还是很快能还原的,这里就不赘述了。如果有你兴趣和耐心,相信你能看到更多让你惊讶到掉下巴的东西!
说了这么多,我来整理一下,给大家补一张图说明各个文件之间的关系。

最后总结一下对腾讯云所谓的安全客户端的分析:
1 ) 加密传输了一堆本属于我服务器的数据。首先它没有明确告知我们它收集了什么,传输了什么;其次我不知道它到底采集了什么数据,而这些数据为什么要加密发送?!是不是里面有我的私钥,甚至我其他重要数据?这种随意的行为令人发指!
2 ) 就实现机制本身而言,通过脚本控制是一件非常危险的事情。一是没有上下文校验和文件水印(可以被伪造下发功能和篡改执行脚本)。二是脚本的插件机制容易被恶意软件利用,借助 Agent 的白名单(因为 Agent 是无条件被信任的),黑客可以为所欲为(俗称白加黑模式)。
因此,对于打着所谓安全旗号默认安装的腾讯云 Agent,我的态度也是坚决而彻底的——删除且永不启用。顺便呼吁各位,抽空好好了解一下这个危险的东西,像定时炸弹一样安插在自己服务器里,细思极恐!
8968 次点击
所在节点    云计算
36 条回复
19zero
2017-06-20 18:16:57 +08:00
卧槽,还有这种操作,真是有够不要脸的
wintab
2017-06-20 21:04:00 +08:00
现在大部分云商都这样吧,毕竟很多云的底层在数据获取上存在缺陷,还有密码重置这些个功能,不驻留些接口和后门是提供不了这些个功能体验的!~
sunflyer
2017-06-20 22:34:00 +08:00
你可能忘了大明湖畔的千万云。
hpayton
2017-06-21 09:55:27 +08:00
@wintab 但也不能这么明晃晃的侵犯我的隐私啊!
wuligear
2017-06-21 10:18:27 +08:00
思细级恐,big brother is watching you !
fansmaster
2017-06-21 10:20:32 +08:00
现在的厂商很多都是这样,法理何在?
cnfreesw
2017-06-21 10:54:24 +08:00
@wintab 瞧你这意思,你常宣传的那个云也有?
mytsing520
2017-06-21 10:58:27 +08:00
基本上国内外都有
Qcui
2017-06-21 11:21:19 +08:00
喜欢楼主这样的,有理有据,令人信服,另吐槽:国内监控真是无处不在啊
wintab
2017-06-21 11:27:46 +08:00
@hpayton 确实是双刃剑,全透明又恐数据安全问题,加密又有隐私担忧。
wintab
2017-06-21 11:29:53 +08:00
@cnfreesw 这个真木有,欢迎来查,当时给产品经理否掉的,正持续被需求反馈吐槽~
wuligear
2017-06-21 13:06:43 +08:00
@fansmaster 印象中谷歌不是这样的啊
hrbwaxdoll
2017-06-21 13:59:01 +08:00
@wintab 这是 gov 的要求吧,不是产品的要求。
wuligear
2017-06-21 14:04:10 +08:00
@cnfreesw 睿江云这块的防御怎么样?
19zero
2017-06-21 15:58:36 +08:00
@mytsing520 能列举一下国外哪家么?
kmahyyg
2017-06-21 16:23:15 +08:00
@mytsing520 就我用过的,do 和 gce 在没经过你同意都不会装
wyntergreg
2017-06-21 17:20:09 +08:00
你需要一本新的《网络安全法》来平息你暴躁脆弱的心灵。没错,这个月 1 号正式实施的那个版本。
19zero
2017-06-21 17:51:22 +08:00
@wyntergreg 新法里怎么说的?
doggg
2017-06-21 19:06:46 +08:00
没事。等你删完想哭的心都有。
我们好奇你们这群人一直说云服务器里跑了腾讯的进程。其实腾讯在你注册服务器的时候就有提示你是否同意云监控。上次有人吐槽阿里云的进程, 我索性也把腾讯的进程删了。现在 cpu 负载,内存负载等数据都显示不了。所以大伙,探索可以多一点,但内心戏少一点。(没事,我只是吐槽自己当时没搞明白就删了进程)
doggg
2017-06-21 19:10:24 +08:00
@doggg 语气好像过了。我总体的意思是如果大伙觉得不安心,有可以不需要云监控功能,那删了即可。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/369858

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX