【云安全最佳实践】线下Linux服务器的T-Sec主机安全POC测试详细过程
【云安全最佳实践】线下Linux服务器的T-Sec主机安全POC测试详细过程
一、T-Sec腾讯云主机安全简单介绍
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵检测、漏洞风险预警及安全基线等安全防护服务,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。现支持用户腾讯云外服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
二、线下Linux服务器POC测试过程
1、打开主机安全控制台主界面
2、安装主机安全客户端
目前支持多云主机(也就是非腾讯云主机)
以Linux服务器为例
wget --no-check-certificate https://up.yd.qcloud.com/ydeyes_linux64_mix.tar.gz -O ydeyes_linux64_mix.tar.gz && tar -zxvf ydeyes_linux64_mix.tar.gz && ./self_cloud_install_linux64_mix -k=xxxxxxxxxxxxWindows服务器也支持Powershell命令一键安装
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('https://up.yd.qcloud.com/ydeyes_win32_mix.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('ydeyes_win32_mix.exe'))"; "Start-Process ./ydeyes_win32_mix.exe -ArgumentList "/S","-k=xxxxxxxxxxxx" -Wait -RedirectStandardOutput stdout.txt -RedirectStandardError stderr.txt"; "cat stdout.txt"; "cat stderr.txt" 需要确认线上服务器要能够访问腾讯云主机后台服务器地址
下面用线下的Linux服务器(CentOS7.9)进行安装测试
SSH登录后执行上面的安装命令
可以看到已经上线
3、先配置机器人,开启告警功能
消息中心配置机器人
添加webhook机器人
并配置主机安全的告警订阅
基础版本功能较少
现开通专业版进行测试(我这里使用按量付费方式开通3元/台/天)
专业版的功能如下
1.资产管理:提供自动化资产清点,支持10种资产指纹上报,支持分类展示TOP5统计,帮助用户了解资产全貌。
2.入侵检测:支持7大入侵检测功能(文件查杀、密码破解、异常登录、恶意请求、本地提权、反弹shell、高危命令),覆盖200+入侵检测点,百亿恶意样本资源。
3.漏洞管理:支持4大漏洞类型检测,覆盖10w+高危漏洞库,提供一键检测功能。
4.安全基线:支持CIS、等保二级、三级基线一键检测,并提供专业处理建议。
主机安全主要功能POC测试
1)文件查杀
网站后门木马又叫 Webshell,一般是黑客通过漏洞入侵网站后放置的 ASP、PHP、JSP 等动态脚本。黑客可以通过后门木马持续控制服务器,进行文件上传下载、执行命令等各种破坏行为,对网站安全危害极大。
基于机器学习的网站后门检测技术并依托腾讯云安全平台的全网恶意文件样本收集能力,主机安全可以实时准确的检测各类木马恶意文件,同时提供恶意文件检测和一键隔离等功能,保护您服务器的安全。
配置查杀设置
文件查杀结果及告警
2)异常登录
基于常用登录源 IP、登录用户名、登录时间、登录地四个维度对服务器登录日志进行分析,以识别出登录流水中异常登录的行为,根据智能算法将异常登录记录标记为“可疑”或“高危”,并向您提供实时告警通知。
异常登录告警
3)密码破解
您的云服务器可通过互联网登录,给了不法之徒进行暴力破解尝试入侵您云服务器的机会。腾讯云安全通过多维度多种手段检测云服务器是否被尝试暴力破解其密码。若检测有异常,会通过站内信或者短信等渠道对您进行告知。
先设置常用的登录IP白名单,例如线下的堡垒机IP,运维主机IP
尝试暴力破解POC测试,例如使用hydra简单爆破测试
4)恶意请求
主机安全通过对外界请求行为的实时监控及处理能力,实现对恶意请求行为的有效识别。若检测到恶意请求行为,主机安全系统会向您提供实时告警通知。
恶意请求POC测试
恶意请求告警
5)高危命令
基于腾讯云安全技术及多维度多种手段,对系统中命令实现实时监控,并且可通过配置规则对命令危险程度进行等级划分。若检测出高危命令,主机安全系统会向您提供实时告警通知。
配置passwd改密的命令规则
执行passwd高危命令
高危命令告警
6)漏洞管理
主机安全对云服务器上存在的高危漏洞风险进行实时预警并提供修复方案,包括应急漏洞、Linux 软件漏洞、Windows 系统漏洞、Web-CMS 漏洞、应用漏洞,帮助企业快速应对漏洞风险。
7)基线管理
腾讯云主机安全支持对基线检测项的定期检测和一键检测、支持对指定主机上的指定基线项进行检测、支持通过检测策略了解基线通过率及风险情况,同时可提供基线和检测项的风险等级和修复建议,同时提供腾讯云默认基线策略,有助于您更好的管理服务器中的基线安全。
基线检测功能可以针对不同的标准进行检测:等保二级,等保三级,国际标准等等
总结
本地提权
若出现以低权限进入系统,并通过某些手段提升权限,获取到高权限的事件,很有可能为黑客的攻击行为,该行为会危害到云服务器的安全。主机安全的本地提权功能可实时监控您服务器上的提权事件,并能对提权事件详情进行查看和处理,同时也支持白名单创建功能,用于设置被允许的提权行为。
反弹 Shell
反弹 Shell 功能是基于腾讯云安全技术及多维度多种手段,对服务器上的 Shell 反向连接行为进行识别记录,为您的云服务器提供反弹 Shell 行为的实时监控能力。
本地提权,反弹 Shell等其他功能暂未测试
当主机安全Agent被卸载时也会有告警 (不过建议开启卸载时要有授权和认证机制)
主机列表截图
资产指纹截图
总体上结合机器人告警进行POC测试,测试告警都是实时推送,这对安全运营来说非常重要
由于时间关系,入侵检测以及高级防御功能后续有机会再进行POC测试
