某次接到系统报警某商户主机出现可疑文件，需配合调查。通过后台数据很快确认了问题，并结合其他取证手段捋清了整个事件。现已对腾讯云商户发布了安全预警。整个事件在技术对抗上并无可圈可点之处，但通过此类事件，发现我们不少云安全工作的问题，值得反思。

后台数据取证
Ø 可疑文件是一个shell脚本，它执行了下载和启动其他木马的命令

Ø查询文件生成时间和wget 关键字在后台数据中查询到是通过webserver执行的命令，也就是说可能存在web漏洞，同时因为是sudo调用的php进程所以可疑获得root权限；
Wdcp这个系统安装时会在sudoer这里设置允许wdcpu这个账户执行sudo调用前述程序。导致一个web漏洞获得了root权限，这样的方式太危险了！

主机取证
Ø登陆wdcp系统的DB查看这个后台管理系统的登陆记录，在前述的命令执行时间区间内我们看到了一个IP登陆了后台，但是他为什么能登陆后台呢，密码那里来的？；

Ø根据webserver的log可以看到他是通过cmd.php执行了命令，但这还解决不了前面的问题；

Ø以来访IP作为起始调查条件对web日志取证，发现一共有2个IP访问了cmd.php，而且同时还会访问/mysql/add_user.php

Ø根据网上的信息发现，整个漏洞的起因就是add_user.php，它的功能可以给mysqlDB添加账户，但它是不需要鉴权的！

Ø根据config账户的密码来看是黑客添加的无疑。

到这里整个入侵流程搞清楚了:

但这里依旧会有一个疑问，这里的攻击者到底是何许人也，腾讯云商户是被针对性攻击还是仅是漫无目的攻击的受害者？下面通过对攻击来源取证说明这个问题。

肉鸡取证
Ø分析木马文件，发现了木马控制主机IP

Ø通过技术手段，我们登陆了这台黑客的肉鸡，某国内云服务商的主机

Ø这里很清晰的看到此主机的主人即是黑客本人，整个桌面，以及几个月来，他的操作就仅限于抓取肉鸡等行为

Ø而且此时这台肉鸡还正在对外DDOS

Ø通过桌面上的黑客工具得到的管理员密码，也能确定此服务器主人就是黑客自身，惯用的密码，我们使用此密码进入管理员的会话

Ø管理员会话中，还有大量的木马控制端开启，有不少受害者

Ø根据登陆日志的记录，此来源IP即是前述腾讯云开发商被黑时的攻击来源，根据机器名判断是ADSL用户个人机(深圳宝安区电信用户)。

至此整个事件得以闭环。通过取证我们还掌握了攻击者的很多信息，诸如网络上使用的一些账户，上网习惯等等留作下一步工作之用，这里暂不赘述。

云安全思考

在此事件中我们原有的安全系统未能对全部攻击步骤自主自动告警，并输出整个事件脉络，甚至有部分细节未能在安全系统中得到展现，且投入了不少人力去跟进，这值得反思。
云服务与甲方自身安全工作应该是有区别的，云商户的安全风险不等同与我们原有公司业务的安全风险。他有如下特点：

1.     对外服务特点多样，与我公司自身的web\桌面终端\游戏类业务有区别；

2.     因服务器基本由商户自己维护，ACL设置以及其他基本安全加固措施匮乏，通过弱口令等手段入侵的案例占比80%；
3.     大量使用开源系统，非自研，通过开源系统入侵的案例占比15%；
4.     从国内外的云服务提供商的案例看来，有不少云资源被恶意(黑客)用户注册使用，本次案例是一个典型的例子。
以此来看云安全的主要矛盾并非是APT检测、1day\0day漏洞检测，而是基线安全，开源系统安全问题。针对此类问题我们的入侵检测系统，取证分析系统还有大量工作要做。围绕云安全工作后续还会有一些分享，敬请期待。

from: http://security.tencent.com/index.php/blog/msg/72