黑客新手4小时入侵云服务器 敲响云安全警钟

一个IT业的新手,只花了4个小时就成功入侵了云服务器,这给云安全敲响了警钟,那么,这个黑客新手是通过什么方法来入侵云服务器的呢?为了确保云安全,应该采取哪些措施呢?

1. 一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。更糟糕的是,他只是IT业的新手。这个28岁的小伙子名叫格斯•格雷(Gus Grey),在一家科技公司刚刚工作了一年多。他说,“我只是花两三个小时随便试试,看看从中有什么学习的。”

2. 格雷在研究了服务器上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。他登录后,基本上从这一应用上获得了整个服务器的管理权限,成功完成入侵。

3. CloudPassage的实验为人们敲响警钟,为了避免类似问题的发生,公司应当限制管理账号所拥有的权限,并确保管理员完成基本操作,如将缺省密码改成不容易识破的密码,以及一旦发现漏洞立刻对应用进行修补。

12月20日消息,外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:

入侵云服务器需要多长时间?为了探究这一问题答案,云安全创新企业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑,并在电脑中下载形形色色被用户广泛使用的程序。CloudPassage悬赏了5千美元邀请黑客们来尝试攻击服务器。

最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。更糟糕的是,他只是IT业的新手。这个28岁的小伙子名叫格斯•格雷(Gus Grey),在一家科技公司刚刚工作了一年多,并在加州州立理工大学(California Polytechnic State University)进修学士学位。他说,“我只是花两三个小时随便试试,看看从中有什么学习的。”

过去人们使用的旧式服务器价格昂贵,安置在房间里。如今技术革新,云数据中心已转移到互联网上。据技术研究公司Gartner估计,云基础设施的市值已增长至92亿美元。但云服务器的安全性真如人们所认为的那样吗?

CloudPassage对上述系统的设计参照了默认配置,模拟了用户常用的计算机环境,实验证明其安全系数并不高。CloudPassage应用安全研究主管安德鲁•赫(Andrew Hay)表示,“人们使用云设施因为他们价格低廉、访问及运行速度快。但人们却没有考虑安全层面的问题。”

格雷在研究了服务器上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。他登录后,基本上从这一应用上获得了整个服务器的管理权限,成功完成入侵。

格雷说,“我本以为尝试攻击服务器会很困难很复杂,但我大感吃惊,原来只需通过假冒管理员就能够访问整个服务器了。”

CloudPassage的首席执行官卡尔森•斯威特(Carson Sweet)称,怀有不良企图的黑客能够很容易地编写出某种可自动对格雷所找出的漏洞进行扫描的电脑程序,进而利用云服务器上存在的类似缺漏来执行攻击。

CloudPassage的实验为人们敲响警钟,为了避免类似问题的发生,公司应当限制管理账号所拥有的权限,并确保管理员完成基本操作,如将缺省密码改成不容易识破的密码,以及一旦发现漏洞立刻对应用进行修补。

格雷表示,“我回到公司做的第一件事就是马上对计算机设置做了几处修改,确保类似的入侵不会发生在我们公司中。”

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2013-12-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–贷项凭证处理(204)-2业务处理

1.1 VA01输入销售订单 客户将收到仅税收贷项,或用于错误收费的贷项。 1. 在 创建销售订单:初始屏幕屏幕上,输入以下内容: 字段名称用户操作和值...

3094
来自专栏企鹅号快讯

《网络战争》第59期:暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 Link...

4338
来自专栏黑白安全

WiFi联盟宣布WPA3协议已最终完成 安全性增加

WiFi联盟(Wi-Fi Alliance)周一宣布WPA3协议已最终完成,这是WiFi连接的新标准。

612
来自专栏FreeBuf

美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activit...

2455
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–可退回包装物销售(120)-6未退回托盘创建借项凭证申请

一、VA01为未退回托盘创建借项凭证申请 在此活动中,您可以为未退回的托盘创建借项凭证申请。客户尚未退回一个或多个托盘。原因可能是托盘已损坏,或者只是客户忘记了...

3955
来自专栏FreeBuf

警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和Tr...

2706
来自专栏DT数据侠

4500个热门景点数据,告诉你国庆长假的正确打开姿势

国庆出游,确实是个让人头痛的问题。今天这位数据侠,不仅用数据告诉你国庆如何成功避开“people mountain people sea”,还手把手带你用Pyt...

1000
来自专栏FreeBuf

只用一台笔记本发动DDoS攻击,就能让大型服务器下线

最近有研究人员发现了一种被称为BlackNurse的简单攻击方式,能够让独立入侵者能用有限的资源(一个有15Mbps带宽的笔记本)驱动大规模DDoS攻击,直接将...

26410
来自专栏腾讯云安全的专栏

腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

2307
来自专栏漏斗社区

专属| 这是一个能降级HTTPS的恶意软件

今天是高考的最后一天啦!许多可爱的小萌新们将踏上一段新的人生旅程。多年的友情与青春终究在一次次相聚与别离中散场,各奔东西,未来的时光愿各自安好!愿放榜的日子里,...

1375

扫码关注云+社区

领取腾讯云代金券