今天介绍一下另一起入侵事件,这次入侵事件的黑客技术水平明显要高于上次,作为这次入侵事件的发现者,感触颇多,由于已经离开该公司,不会对公司有什么影响,公司名用代号替代。
详细追查过程和相关敏感信息忽略。
B互联网公司,在出现该入侵事件几个月前,公司出现部分客户手机号被盗情况,后续将客户手机号做加密,但涉及面多,未完全做完,
历史原因,有部分系统用的PHP的Tars框架开发,各种原因Tars维护很困难,准备做一下迁移处理。这时架构师和运维,开启了Tars集群一台云
主机的公网IP权限,开了几天,迁移处理完后,就关闭了,但就是这个看起来很简单的操作带来了巨大的后果。
研发一直在做库表迁移,把表从原有的一个库,分拆到其他实例上。当时做了一个分析SQL系统,具体见:
用ELK分析每天4亿多条腾讯云MySQL审计日志(1)–解决过程
这样就可以知道这表还有哪些账号调用,那些程序没有改,改了有没有改完,方便快速做拆分。
发现异常:
1,某研发小组组长根ELK汇总查询,反映有个账号还有读一个表,但查询程序已经改完,无账号读取该表,但查询ELK,的确还有查询。
2,早上10:30左右,查看每日慢SQL,发现某个账号查用户表,一共几百万+条用户数据,通过查询先前导入的ELK的SQL执行日志,
发现有账号在凌晨导数据。
3,早上,旁边的架构师说有台云主机发现有木马,要查杀。
领导重视:
结合上面种种,再加上职业敏感性,我还特意和领导说了一下,有黑客入侵,旁边的同事还说下,想多了,那有那么多入侵的事,但有ELK这个工具的加持下,查询下来的确发现是有入侵。而且不只一次,领导终于重视,让我查数据库方面情况,另外一个架构师同事查云主机方面情况,
汇报给公司。
查询结论:
1,
原文地址:http://www.cnblogs.com/zping/p/16802754.html
