专栏首页安恒信息黑客新手入侵云服务器仅需4小时

黑客新手入侵云服务器仅需4小时

外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:入侵云服务器需要多长时间?为了探究这一问题答案,云安全创新企业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑,并在电脑中下载形形色色被用户广泛使用的程序。CloudPassage悬赏了5千美元邀请黑客们来尝试攻击服务器。

最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。 更糟糕的是,他只是IT业的新手。这个28岁的小伙子名叫格斯•格雷(GusGrey),在一家科技公司刚刚工作了一年多,并在加州州立理工大学(California PolytechnicState University)进修学士学位。他说,“我只是花两三个小时随便试试,看看从中有什么学习的。”

过去人们使用的旧式服务器价格昂贵,安置在房间里。如今技术革新,云数据中心已转移到互联网上。据技术研究公司Gartner估计,云基础设施的市值已增长至92亿美元。但云服务器的安全性真如人们所认为的那样吗?

CloudPassage 对上述系统的设计参照了默认配置,模拟了用户常用的计算机环境,实验证明其安全系数并不高。CloudPassage应用安全研究主管安德鲁•赫 (Andrew Hay)表示,“人们使用云设施因为他们价格低廉、访问及运行速度快。但人们却没有考虑安全层面的问题。”

格雷在研究了服务器上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。他登录后,基本上从这一应用上获得了整个服务器的管理权限,成功完成入侵。

格雷说,“我本以为尝试攻击服务器会很困难很复杂,但我大感吃惊,原来只需通过假冒管理员就能够访问整个服务器了。”

CloudPassage的首席执行官卡尔森•斯威特(Carson Sweet)称,怀有不良企图的黑客能够很容易地编写出某种可自动对格雷所找出的漏洞进行扫描的电脑程序,进而利用云服务器上存在的类似缺漏来执行攻击。

CloudPassage的实验为人们敲响警钟,为了避免类似问题的发生,公司应当限制管理账号所拥有的权限,并确保管理员完成基本操作,如将缺省密码改成不容易识破的密码,以及一旦发现漏洞立刻对应用进行修补。

格雷表示,“我回到公司做的第一件事就是马上对计算机设置做了几处修改,确保类似的入侵不会发生在我们公司中。”

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-01-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Blackhat2013黑帽大会:五款值得一看的黑客工具

    2013年的黑帽大会将于7月27日到8月1日期间在拉斯维加斯召开。在即将到来的2013黑帽安全大会上,安全研究者们将会介绍一些黑客工具。 这些工具可以解决的问题...

    安恒信息
  • 运维安全中的“福尔摩斯”

    引 言 随着互联网技术的发展,信息的交互越来越频繁,随之而来信息的安全、运维操作的合规性等等问题越来越多,其对于企业内部管理来说要求越来越高。2015年某某网...

    安恒信息
  • 国内黑客论坛已出现自动攻击已知Struts漏洞的工具

    中国黑客现在正是用一个自动工具利用Apache Struts中的已知漏洞,目的是在用这个框架开发的用于托管应用的服务器上安装后门。 Ap...

    安恒信息
  • Flutter | 常用组件分类、概述、实战

    AppBar(title属性,Text组件; action:动作响应;!!!! titleSpacing:标题文字间距; toolbarOpa...

    凌川江雪
  • Flutter | 使用 InkResponse和 InkWell组件 实现事件操作

    凌川江雪
  • c ++成神之路!资深程序员大佬:俄罗斯方块游戏经验分享!

    本课程是通过开发俄罗斯方块游戏来学习C++和Windows的开发技能,实行“玩中学,学中玩”高学习境界。俄罗斯方块游戏比较简单,因此比较适合刚学习过C++编程语...

    诸葛青云
  • 创建Task的多种方法

    Gradle的Project从本质上说只是含有多个Task的容器,一个Task与Ant的Target相似,表示一个逻辑上的执行单元。 我们可以通过多种方式定义T...

    用户1134788
  • 《笨办法学Python》 第38课手记

    《笨办法学Python》 第38课手记 注意这是第三版的《笨办法学Python》的内容,我后来发现第三版存在很大的问题,就放弃了第三版开始使用第四版,第四版的第...

    Steve Wang
  • SpringMVC 参数注入

    写一个web service, 总是400. 说是request有问题,server不识别。然而检查了很多次都没问题。最终问题指向spring对参数的解析和注入...

    Ryan-Miao
  • Hadoop学习5--配置本地开发环境(Windows+Eclipse)

    一、导入hadoop插件到eclipse 插件名称:hadoop-eclipse-plugin-2.7.0.jar 我是从网上下载的,还可以自己编译。 放到ec...

    小端

扫码关注云+社区

领取腾讯云代金券