你的服务器都是怎么被拿下的？｜攻防演练真实案例

2023年6月的一天，A公司的安全运维老张正在加班加点进行最后的红蓝演练防守，突然收到了一条反弹Shell高危命令告警。

告警显示，有攻击者通过/bin/sh-c命令执行/usr/bin/bash-i命令，企图远程控制公司的一台主机。

（反弹Shell告警）

老张连忙登陆被入侵主机，但发现服务器的系统日志已经被攻击者删除，找不到攻击者留下的蛛丝马迹。而在此时，公司内网的其他主机也陆续发出被攻击的警报，攻击形势进一步升级。

就在这个危急时刻，腾讯安全的事件专家陈工带着完整的事件调查结果找到了老张，帮助他还原了整个攻击路径。

（主机安全自动化事件调查流程示意）

陈工说，“这次入侵是典型的漏洞利用，攻击者利用Apache Shiro反序列化漏洞，在主机中执行了反弹shell命令并植入公钥，成功控制了目标主机，并尝试收集主机的敏感信息。

这是一个经验非常丰富的攻击者，在拿到主机控制权后，便迅速建立据点，利用内网穿透工具NPS进行内网穿透，向内网的主机发起了扫描探测、暴力破解、漏洞利用等内网横向移动操作。”

按照老张以往的经验，以前这样的入侵最少要花几个小时才能摸清路径，而部署了腾讯主机安全旗舰版后，整个事件的调查只花了几分钟，极大地提高了威胁响应和处置的效率。

陈工解释道，腾讯主机安全旗舰版具备自动化的事件调查能力，企业部署旗舰版后，检测引擎会对主机中的进程、文件、网络日志等进行实时检测，一旦发现风险便会即刻告警，并且根据腾讯安全专家的实战经验自动化回溯日志，并还原攻击者的入侵路径及完整的入侵后行为。

找出攻击的根源后，老张迅速联系相关同事进行漏洞的修复。“不过，检出这个漏洞的机器真不少，看来今天又是需要大家加班的一天了。”

“不用着急，目前这个漏洞已支持自动防御，你只需点一个按钮，就能一键开启漏洞防御，攻击者就无法探测、利用这些热点漏洞了。”陈工说。

（主机安全漏洞防御功能）

作为企业云上的最后屏障，主机一旦被攻陷，企业核心资产将岌岌可危，甚至会威胁到整个内网的安全。因此，在重保这一特殊时期，主机安全是重中之重。

在应急漏洞频发、新型攻击层出不穷的当下，除了需要具备相对全面的安全加固和入侵检测手段外，企业还需要为主机部署一定的防御能力和溯源能力，才能在人力、精力遇到瓶颈时，从告警风暴中解放出来，高效识别并集中资源解决关键问题。

在重保之际，分享一部腾讯主机安全的必胜宝典：

秘籍一：通过“WeDetect引擎”发现已知、未知新型攻击

攻击手段变幻无穷，如果仅关注单一维度的告警，常常会陷入到告警风暴中。主机安全“WeDetect引擎”支持南北向、东西向的攻击流量检测，可以自动化结合入侵事件产生的多维度数据，自动化完成对攻击事件的关联、分析、实锤，减少无效告警、发现有效安全事件。同时利用攻击武器检测技术、实时流分析检测技术、未知威胁分析检测技术，具备多类已知威胁与未知威胁的检测能力。

（WeDetect引擎）

使用主机安全网络攻击功能，借助WeDetect引擎能力，实时感知主机端恶意攻击流量，快速了解攻击趋势，处理失陷事件。

（主机安全网络攻击示意图）

秘籍二：先缓解再修复，用“泰石引擎”一站式提升漏洞防护效率

漏洞是攻击者撕开防线的重要武器，借助腾讯云泰石引擎能力，可以一站式提升漏洞防护效率和效果。首先，开启RASP+精准漏洞防御，可以为服务器注射一剂疫苗，在不影响业务的情况下，对东西向流量、变形流量等传统网络安全产品难以防范的攻击进行拦截，为漏洞维修争取时间。

同时，可根据当前漏洞攻击热度、是否存在在野利用攻击等多维标签，自定义筛选高优修复漏洞。

（主机安全自定义筛选高优漏洞）

借助漏洞自动修复工具对部分漏洞进行自动修复，可大大提升漏洞运营效率。

（主机安全漏洞自动修复功能）

秘籍三：部署高级防御能力，并做好容器内安全防护，照亮隐秘的角落

为了持久化渗透目标内网，攻击者会利用各种隐秘的后门技术来进行长久的权限维持并进行痕迹清理。这时，企业需要部署一定的高级威胁防御能力，对Rootkit、内存马、crontab后门等入侵行为进行识别。

除了高危命令、恶意请求、木马植入等7大入侵检测手段外，主机安全还具备新型威胁感知能力。以无文件落地的内存马为例，主机安全可对JavaWeb服务进程内存中存在的未知Class进行捕捉，自动识别数十种内存木马，覆盖JSP代码、反序列等多种注入场景。

同时，主机安全容器版可以支持容器环境下从镜像构建到容器运行时全生命周期的安全风险，让容器资产不再成为防护盲区。

秘籍四：正本清源，通过“Cyber-Holmes引擎”还原事件全貌

只有找到入侵的源头，才能封堵入侵路径，从根本解决入侵威胁。“Cyber-Holmes引擎”，寓意“网络空间威胁神探”，基于腾讯云端安全告警数据和安全知识图谱，集成若干种威胁分析检测引擎与事件自动化调查引擎的能力，提供威胁告警与可疑样本智能分析服务。企业可以以受害者资产视角查看完整攻击溯源链路，快速还原入侵事件。

企业可以借助主机安全、容器安全能力筑牢服务器最后一道安全防线，同时联动腾讯云防火墙、WAF、云安全中心，构建“3+1”安全防护体系，实现从互联网流量边界、Web服务，再到工作负载层的全方位防护，全面提升数字安全免疫力。

（腾讯云原生安全“3+1”防护体系）