最近公司 web 应用系统(部署在 aliyun )被攻击。索性以前做过等保也或许是因为发现的及时,ban 了对方 ip ,所以没出啥事儿。但事后复盘还是有点不爽,想问问诸位大佬,在安全、风控之类的事情上是怎么做的。
我该如何通过已有的对方 ip 知道对方是什么样的公司 or 人(目前 aliyun 已经反馈那一批 ip 都是一个公司的,但涉及隐私,无法告知公司名称)。结合一些对方渗透的手段,我们怀疑可能跟公司内部信息泄露(比如离职员工)有关,所以比较好奇对方的信息。不过这个好像涉及黑产了,应该正常渠道是获取不到的,如果有门路的老哥,可以提点下老弟。
大家有用到哪些封控产品或者阅读过哪些和风控 or 监控 or 安全相关的文章,欢迎分享。
我的,我特意写了 web 服务,想省事少码几个字,看来还是想多了。攻击基本都有覆盖,我说几个他们量比较大的:密码暴力破解(有些管理系统没有用动态口令登录)、路径遍历、注入(脚本和 sql)、还有一些软件的低版本漏洞
这个我没说清楚,就是比如一些常见的规则,waf 是可以的,这里我举个例子,假设某个网站为了防止爬虫,它有个简单规则比如 qps <1000 /s,如果大于就屏蔽 ip or 用户一段时间。这是我是攻击者,我按照 100qps 进行爬虫,我就是正常的用户。我表达的是,waf 是通配的基础规则,针对每家公司特殊的要求好像还是得自己设计。
1
billzhuang 221 天前 via iPhone
可以让阿里云看看,WAF 为什么没有拦截这些请求。
|
2
whileFalse 221 天前 via Android 2
絮絮叨叨这么多也没说是什么攻击
|
3
lxh1983 221 天前 via iPhone
公司是自己的吗?是的话也可以去找黑产搞回去。不是的话,那是老板给你的工作量不够,看你闲的
|
4
boseqc35 221 天前
waf 是可以 bypass 的,建议找白帽给你们做一波渗透,该补补,该修修
|
9
xguanren 221 天前
你要知道他做了什么 才能去做防护手段呀.先打好日志.做好蜜罐,看看对方究竟是使用了什么手段吧.因为你没有说对方究竟是干了什么.是爬取信息了还是入侵 攻击你们了.还是 ddos cc 你们了..对方不出拳.你去猜测对方使用了什么功法.你怎么知道呢...无非就是前期上一些通用规则呗.就好像你说的 aliyun 的 waf 经过很多年发展.内置了一套模型去甄别.但是具体还是要看你们公司遭遇了什么
|
10
CloudMx 221 天前
感觉就是扫描器在扫你们...
|
11
aqqwiyth 221 天前
访问日志 包括 IP 时间记录一下 , 有时候会有叔叔上门问你.
( 一年公司一个业务前因为被攻击, 然后去年底叔叔说抓到一个团伙发现有你们被攻击的痕迹 是否可以提供证据, 损失 可以追偿) |
12
nerocho OP 嗯,记录都有的。
|
13
izoabr 221 天前
可以报警吧
|
15
F7TsdQL45E0jmoiG 221 天前
除非特别有针对性的编写 WAF 的策略,否则就当没有 WAF
|
16
whileFalse 221 天前 via Android
我对 aws waf 比较熟,aws 中暴力破解可以用访问频率限制防住,注入可以用标准的反注入规则防,路径遍历和漏洞基本就不归 waf 管了,但可以通过 ip 白名单等其他方式提高安全性。能防住的这些也要根据你的业务去针对性的设置并根据 waf 日志不断调整,安全层面的东西不是一蹴而就的,你面对的攻击者是活人。
|
17
lovegoogle 221 天前
@lxh1983 你这个回答几乎可以用在任何一个回答上,就和废话一样...
|
18
x86 221 天前
ddos 打回去
|
19
Arumoh 221 天前
我觉得就是普通扫描器扫描吧,这个很常见,对方攻击没必要暴露公司 ip 吧,至少用个跳板,那堆攻击 ip 说不定是肉鸡
|
20
dododada 221 天前
如果确认是被攻击了,直接报警就行了,网安会处理的;
但是攻击源只有一个?这个就太奇怪了 如果是流量攻击,可以上按需上高防,不过腾讯的高防真的很贵 |
21
hnliuzesen 221 天前
昨天看到 B 站上有人推荐 雷池 WAF 的,社区版开源免费,看介绍感觉挺厉害的,可以试试
|
22
cnevil 221 天前
从你这看 只是常规公网的一个扫描 你很难找到对应的人
没有造成损失的话警察应该也不会搭理你 |
23
nerocho OP @hnliuzesen 谢谢,我去瞅瞅
|
24
W4J1e 220 天前
看到结尾绷不住了,哈哈哈哈哈哈哈哈
|
25
null2error 220 天前
能不能对结尾单独点赞?
|
26
niucang 220 天前
有始有终,挺好
|
27
motorw 220 天前
看到最后真绷不住
|
28
tangmanger 220 天前
创建个蜜罐 让他进来
|
29
ZnductR0MjHvjRQ3 220 天前
讲道理 如果看到是同一个 ip 的攻击一般不会是正常黑客攻击 ,web 攻防渗透第一课,隐藏自己
|
30
cat1879 220 天前
哎,打补丁,加认证。多加一层。没办法
|
31
zzzlight 220 天前
笑死,直接看到最后一个补充,乐了。
|
32
dododada 220 天前
最后这个攻防演练,严格来讲,签合同的时候要写清楚各种服务授权,如果你们没有授权对方对你们的接口做攻防演练这种操作,对方是不能做的
|
33
billwang 220 天前
等保,攻防演练,一看就是企事业单位了。
|
34
gscsnm 220 天前
现在每年都有大型演练。
客户自己先自行查,很正常。 |
35
zhanghk668 220 天前
這明顯是掃描的樣子呀
|
36
porrt8 220 天前
还没来得及学到什么,这贴就结束了 xs
|
37
dfdd1811 220 天前
哈哈,一般这种大范围的,攻击方面很全,而且精准攻击所有机器的,可能都是在演练,要么就是安全部门自己做的。外面的扫描一般一两种扫描,而且也就扫到一个两个机器,不会大面积的
|