2005年3月11日,启明星辰沈阳分公司应急响应小组接到用户紧急求助电话:用户一台重要Web服务器被黑客攻击,主页遭到修改,请求帮助。启明星辰沈阳分公司迅速启动应急响应程序,在电话中指导用户保护好现场的同时,启明星辰的网络安全顾问立即出发进行现场救援,20分钟后到达了用户现场。
启明星辰沈阳分公司安全顾问汤琦经过细致的现场分析,发现黑客是通过如下过程黑掉了服务器:首先,通过某种方式获得了管理员密码,然后通过远程SSH登录到服务器,增加了一个0级的用户,到了这一步,黑客就可以为所欲为了。进一步的日志分析又发现:黑客是利用了系统的几个缺陷获取到管理员密码的。查找到问题根源后,汤琦对用户的系统做了安全加固工作。
这次事件后,用户对系统的网络安全问题更加重视,邀请启明星辰公司汤琦工程师与他们公司的网管人员共同开了一个网络安全交流研讨会。在交流过程中,用户的网管人员介绍了最初系统安全设置的考虑称:系统选型时已经考虑到了安全问题。当时选择操作系统时,鉴于WINDOWS经常会发现一些漏洞,所以特意排除了它,而选择了LINUX,是认为LINUX还是非常安全的;在开放服务方面,仅仅开了几个需要的服务;另一方面,为了既方便远程管理又能保证安全,还停止了TELNET服务,使用加密的SSH;在此之上,又启动了一个软件防火墙服务,在上面设置了仅开放必要的端口,据说有些国内的硬件防火墙是在一台X86系统硬件上使用LINUX操作系统,然后再加上软件防火墙来实现,所以我们就没有上硬件防火墙。网管人员在做了这些设置后,认为服务器已经很安全了,哪想到还会被黑。
针对用户的问题,汤琦一一做了解答,他说:在这里你们有几个误区:首先,任何操作系统都有漏洞,只是WINDOWS的使用者多,漏洞被发现得多,LINUX也有很多漏洞;其次,漏洞主要是由操作系统漏洞与应用程序漏洞组成的,我看到你们也注意到了这点,但是一般人可能没有想到,号称安全的远程登录服务SSH本身也有漏洞,这次我就在你们的机器上发现了SSH的漏洞;再次,确实很多硬件防火墙的软件实现就是LINUX操作系统加上软件防火墙实现的,但是任何软件都会有缺陷,优秀的厂商会经常升级他的产品,以修补原来没有发现的产品缺陷。
最后,汤琦总结道:网络安全行业最重要的就是能意识到安全不是绝对的,新的漏洞会不断地被发现,那种认为安装了安全产品后,从此就可以高枕无忧的想法是要不得的。就拿这次来讲,即使做了系统加固,也只能说明加固后这一小段时间内是安全的,但是随着技术发展,很快新漏洞就有可能产生,到时这个系统又变得不安全了。那么如何解决这个令网管心烦的问题?这就是我经常向用户建议的:选择安全产品就是选择一个能提供良好安全服务的安全产品制造商!安全环境是瞬息万变的,良好的服务应该包括:能自主发现安全漏洞、及时升级自己的产品、及时把升级信息发送到用户手中、及时通知用户当前网络安全状况、提供必要的安全培训、提供及时有效的安全服务。
