雲盾定期對雲主機監聽埠做SQL注入攻擊，這是業界的通常做法嗎，有何風險？

01-13

不是通常做法。
我們的一些服務做過安全檢測，入侵性檢測的相關協議有500多頁，裡面把關於怎麼檢測、檢測出啥算什麼問題、意外獲得的數據怎麼處理、意外產生的數據怎麼處理，之類的問題的寫的清清楚楚，就差給源代碼了。

入侵性檢測是非常、非常危險的事情，因為誰都不知道會不會導致一些不好的結果。一不小心獲得了你的用戶名列表怎麼辦？讓你的用戶知道了，你的用戶不信任你了，你就不信任我的服務了，我特么找誰掙錢去？一不小心給你的統計數據加了個1，結果你的投資人發現這個1不是真實用戶認為你數據造假，不給你投錢你就窮死了，我找誰掙錢去？

這麼隨便地弄入侵性檢測，基本是默認了用戶的數據不值錢，用戶不值錢。

當然你也可以理解為阿里覺得自己的檢測特別牛逼，不會對用戶有任何影響。雖然看起來完全不是這樣。

這個竟然不是Opt-In，而是Opt-Out的，不小心把服務搞掛了，算誰的責任？參考：警惕阿里雲的雲盾掃描佔用大量CPU

竟然還需要有進程在客戶虛擬機裡面運行，參考阿里雲伺服器查殺關閉雲盾進程

這個雲盾是來搞笑的吧 ...

------------

竟然還有給這種行為洗地的。毫無疑問題主是中了阿里雲全家桶嘛 ...

這個其實是好心的服務，但是被沒考慮好業務場景。

本質上講是因為雲安全類產品都在探索的階段，沒有想好怎麼把一個好的安全服務做成一個什麼樣的產品給用戶用。其實也是雲服務的便捷與安全的一個難點問題。

例如樓主問的安全檢查或掃描，在騰訊或阿里這樣的大公司，任何一個產品或功能上線前以及上線後，都要必須執行這樣的安全掃描流程，這的確是業界的通常做法，以前在某鵝廠工作時，在伺服器上查看自已業務日誌時經常能看到公司安全部門或測試部門的自動化攻擊掃描記錄，一開始還虛驚一場以為受到攻擊了，其實只是兄弟部門的例行公事。同時為了防止入侵，安全部門還會在伺服器上安裝一些 Agent 工具，例如可以在 Web 伺服器上掃描 PHP 木馬之類的並可以根據策略告警或直接刪除，這些工具一般是在業務在使用之前就已經在伺服器上裝好了的，就像你的公司IT部門預先在你的辦公電腦中預先裝好了殺毒軟體一樣。這麼做的確省了業務好多事，我們只專心做好業務就可以了，安全的事有更專業的安全人員去支持。

但是我說是業界的通常做法，是指對公司自已的業務和產品而言的。

阿里雲盾這次事件的根本原因可以用這麼個故事來形容：以前阿里自已內部用的安全產品對內用得好好的，各業務也非常滿意。現在有阿里雲了（目前的各種雲，尤其是大公司的雲大部分其實都是把公司自已強大的運維能力計算能力共享出去），好多用戶在用我們的雲計算服務什麼的，但是安全也要做為一大賣點，這不光是賣點，安全的確是很重要。正好現在公司內部有現成的安全產品，內部用的好好的，效果也不錯，評價很高，那就也拿來給阿里雲用戶用吧。於是問題就這麼產生了。阿里雲盾的產品同學肯定沒考慮到，以前安全掃描，是自已的產品，大家都是一個公司的，是內部掃描，無所謂，但現在用戶的網站在阿里雲上，數據所有權是別人家的，還這麼掃，用戶肯定會疑心了。況且看用戶描述，這個產品也不太透明，可能還沒規劃好，就按以前內部用法用了，默默的在後台運行，沒有周知到用戶，可能掃描結果也只是雲安全部的人在看。如果包裝一下，定期也給用戶一個掃描報告，估計用戶反應也不會這麼大，總之就是沒有做到讓用戶知情。

對於阿里雲盾掃描佔用大量 CPU 的問題，也是屬於上一問題，只不過是具體的實現問題了，例如在一些大公司內部，雖然安全部默認會給系統裝上各種安全工具，同時運維部可能還裝各種性能上報工具，這些工具一般都是有性能指標的，比如運行時不能佔用系統資源以影響業務的運行，但是有時候還是因為 bug 或設計不合理導致資源佔用過高，這時候我們就可以叼安全部或運維部的同學們了，如果他們搞不定，我們業務部門可能就決定不裝這些東西了，雖然這個可能是全公司強推的規範，但是業務穩定和安全有時也要做取捨。當然他們搞好了，我們還是要用的。

所以說有些產品不是簡單的內部用了很好，直接放給外部用戶就一定好，雲服務這個東西，本身很多地方就是空白，雲安全更是規範和邊界模糊不清，掃描檢測這種說好了叫白帽子，說不好就有侵犯別人權益的風險。

所以這次事件，對於阿里雲的安全產品是個很好的提醒，可以好好想想到底怎麼做才好，很多服務不是簡單的把企業以前成熟的運維經驗或工具簡單做成產品放出去給外部用戶用就叫雲服務。

對於那些說安全掃描是為了竊取用戶數據的可以散了，你的伺服器架在別人機房裡，就算是虛擬機不知道用戶密碼，網路監聽總可以吧，想竊你的數據用不著繞大圈去掃描。

話題到用不用雲服務上來，如果擔心數據安全的問題，最好放在自已的機房裡，放在電信運營商機房都不可信。各位的寬頻還時不時被插廣告呢，電信運營商都無良到種地步了。

對於有些有說阿里雲盾是木馬的說法，任何一個雲服務公司，都會往你的 VPS 操作系統中或多或少的裝一些運維工具，要不然你乍么可能在 Web 界面中清楚的看到各種性能指標？雖然也有不裝工具的實現方法，比如 SNMP 協議之類的，但是都有一些局限性。

對於雲服務，的確是省了很多中小企業的成本和力氣，更方便了，但是世界上從來沒有兩全其美的事情，自已要省事，那就必然要把數據託管到雲服務商那去，要不然就要承擔自已維護的成本。

所以我的觀點是，初期的話放心放在雲上，先把事做快速做起來，但要做好撤出的準備和架構，等業務增長到有更多的資金或人才了，可以自已維護了，就撤出來。

業界有滲透測試服務。阿里做了其餘幾家也會這麼干。

影響：肯定有，假設你家網站存在注入，比方說延遲注入，url參數帶入sleep（**）,正好業務系統也在使用，鎖表，掛掉一段時間，至於會不會獲取數據，看服務協議和條文。

阿里，你懂的。

----

經查詢: 在中國大陸，未經許可（含默示許可）的網路掃描並不違法。所以阿里可以繼續掃描，只要別離開中國大陸就行了。

既然有人也問到，這種掃描是否是業界慣例，那至少Microsoft、Amazon是不會這樣做的。因為想不違法的掃描網路，在國際慣例上，需要提前得到擁有者的明確授權（授權必須包含掃描的時間、方法、訪問點），否則可作為攻擊行為被起訴。

問題本身雲舒已經回答了。

對於必定會出現的陰謀論，請考慮：阿里雲作為服務提供商，如果真的想獲得客戶資料庫里的數據，需要採取SQL注入這麼繞遠的方法嗎？畢竟大部分資料庫就以非加密狀態存儲在阿里雲所擁有並運維的伺服器硬碟里。

所以，使用雲主機或者主機託管服務，前提是對服務商的道德（不會以公司行為竊取數據）和管理水平（不會以員工個人行為竊取數據）有足夠的信任。否則，還是把機器放家裡比較好。另外，無論機器放哪裡，客戶敏感數據要加密。

你可以認為阿里壞，可能會竊取你的數據，所以不能信任。但是如果你認為阿里雲想通過SQL注入來竊取你的數據，那你是認為阿里不僅壞，而且蠢到不可思議...

之前在兩家乙方安全公司呆過，說實話阿里不掃也有別人在掃。ucloud之前做掃描器我還想去的。

看到樓上有幾個對安全的態度是不對的，他們態度和威客眾測事件中的廠商一樣，威客眾測事件鏈接http://www.zhihu.com/question/35114788。被人發現漏洞就嚷嚷著，我沒有授權，我要起訴你。

我現在在甲方做安全，天天模擬黑客入侵公司，包括網弱口令top1000掃描，社工庫查員工密碼，然後滲透員工個人，發釣魚郵件給員工。黑下一台伺服器之後掛js鉤子拿員工通用密碼加到爆破字典里，給HR發一個帶flash 0day面試flash. 反正手段無下限到你不信，很多員工私人郵箱或者手機雲備份的簡訊什麼我都看過，但是我不會告訴別人啊，這是種職業操守。

阿里如果真心想拿你資料庫用得著sql注入么？

好幾個ali的人一副我是你baba的態度在這裡噴別人，有必要麼？題主只是不明白怎麼回事詢問一下，根本沒有帶節奏要黑你們的意思，憑什麼假定其他人都應該知道並且理解你們定下的策略，若是這樣，還要你們做什麼？能知道什麼是SQL注入就已經是很不錯的用戶了，你們只要像雲舒一樣簡明的回答並提供關閉方法就可以了嘛。

提供互聯網服務也是提供服務，你們自己去看看哪個服務類行業敢這樣對待自己的用戶。

另外，剛才準備拉黑幾個，打開卻發現已經拉黑過了

讓黑客背景的所謂安全工程師來做產品和主導產品，必然是這樣的結果。因為他們總是慣於把非法的、猥瑣的、黑客日常的魔法式的偏門技術來作為產品發展的主旋律。

阿里雲盾的這種做法毫無疑問是不合理的，用一種偏門的不合理甚至不合法的技術來掩飾自身防禦維度上的短板，完全是一種不負責任、得用且用，拿用戶當小白鼠的荒謬行為。

這和免費送你車，但要你和你免費得到的車做一次免費的極限碰撞試驗有什麼區別？把用戶不當用戶當測試人偶，這就是阿里雲盾的做法？

有一次在調試的過程中，我發現我們的訪問日誌里全是些什麼php文件還有sql注入一類的訪問請求，然而我們的服務是用python+mongodb做的。就這樣正常的訪問日誌全被這些東西淹沒掉了。

不是我黑雲盾，但是我覺得這東西不應該默認開啟，更不應該在默認開啟後有這麼多腦殘的行為。

雲計算遭到了安全性懷疑，其實安全專家不知道比你想的多多少倍！！！其實不用雲主機黑你也是分分鐘，只不過你沒有價值罷了。

你要這麼黑阿里雲也沒有黑到點子上去啊！！！智商捉雞，何況刺總的為人還是比安全圈的一些人值得相信的多。看看2015-09-1出事後公眾號的態度，我還是相信阿里安全團隊的人的，老馬，雲舒，道哥（刺總）。

老馬的xmd5不知道數據有多少，道哥的0day，雲舒大大的技術隨便哪一個去黑你都是手到擒來吧。

安全行業啊就是這樣，一家出個問題大家都暗中使絆子，行業還是要發展的，別那麼苛刻對別人，說不定自己家做的還不如人家呢。別人也都在努力，沒閑著！！！

有功夫找茬就把自家產品安全性做好啊，自己傻逼還怪別人啦！！！

真是世風日下，道德淪喪。

好吧，說下我們（遊戲）在阿里雲碰到的事，由於我們還是測試階段（當然還有部分玩家），有些操作都是通過HTTP協議發送過去的（比如發玩家福利），並作出相應的解析。然後忽然有一個周一，我們發現上周一發送的玩家福利這周一又被發送了一次！！！納尼……這丫是哪來的，問了所有同事，然後打開公司的所有監控查看這段時間的HTTP請求，並沒有發現任何信息。我本來以為我家裡的電腦可能有人在玩，看歷史紀錄的時候不小心點到了（瀏覽器自動同步--#）。

然後又過了兩周，發現每周一都有這封郵件（我們稱它為幽靈郵件），事情大條了！然後我們程序配合運維各種查，最後發現連過來的IP是阿里雲的雲盾，大概在那段時間（2小時左右）基本每秒都在發，根據觀察重他是截取之前某段時間我們伺服器接收到的請求來重發、重發……媽蛋，真的是重發呀！！！然後運維聯繫了阿里雲那邊，他們說我們雲頓會定期掃描，但是並不知道是否會重發請求……我就類了個去了！！你們搞的東西你們都不知道！！他意思就是這貨是為你們好的，你要是不想用就把進程結束掉，恩就是這樣。說話還是蠻客氣的。

順帶提一嘴，前兩天的阿里雲盾升級大範圍的伺服器命令缺失，不知道多少人碰到過了

真要日你的站為什麼還要洞…

直接上去不就完了嗎…

你伺服器都放在阿里雲上…

//我是從一個信息安全從業者角度來答，具體用從用戶體驗角度來答，阿里這麼做確實不妥。

背景相關，在國內一線互聯網公司負責過幾年的漏洞發現與防護相關工作。

1。掃描不是入侵式的，我們之前數年工作的首要原則是不影響業務的前提下發現漏洞。可以拉accesslog出來分析，例如sql注入的掃描均會使用 or sleep(1) limit 1#之類的用例，或者讀取information_schema表信息的用例，不會對業務方造成影響(舉個栗子，不懂自己百度)。另外，安全發展一開始可能都是粗放式的，但是如果出過一次事故，例如業務有個sql注入，你把業務掃的掛死，業務不會想到首先是因為自己的業務有漏洞，而是會把發起漏洞掃描方罵的狗血淋頭(我對這個深惡痛絕！！！)，然後領導也會把寫代碼罵的狗血淋頭，然後我們就只能屁顛屁顛絞盡腦汁想盡各種辦法降低掃描對業務等影響。像mysql裡面那些benchmark函數對於檢測有用的函數掃描用例，壓根不敢上！！！一秒只敢對一個站點發幾個請求！！！如果有影響了業務方，卻不改進的漏洞審計，而且該團隊不會被炒掉，請告訴我！

2。掃描通常會有自己的身份，一般不會使用你的客戶的身份。

3。其次，互聯網非常危險，如果你的服務是對外開放，雲盾自己不掃描，外部黑客也會進行掃描，外部的掃描會更暴力，為了發現漏洞不惜一切，他們才不會管我上面說的會不會影響到業務。而且來勢洶洶，我負責過一段時間的漏洞防護工作，每天攔截到的掃描攻擊請求比一個大中型站點每天的pv。如果你的網站真有漏洞，一掃描就能多幾條數據，那真被黑客盯上，可能他就直接往你資料庫寫幾千萬條數據掛死你，或者影響就遠遠不止被寫多了數據了！

為這個洗地的也是有意思，滲透測試的基礎是什麼？是授權

默認這麼干是什麼意思？「我這都是為了你的好」？你是我爸？

阿里雲的保姆式服務：開發、託管、安服等等全包模式也算是中國特色了。雖然初期看起來確實方便省心，但實際上這種模式是不健康的。比如我們給人做安全測試(主動的黑白灰盒滲透測試)，發現漏洞後提交的報告中會有修復建議，但是也僅僅是建議，並不提供詳細方案或代碼。這是基本原則之一，因為我覺得各方應該是「三權分立」的，又做裁判又做運動員肯定是有問題的。

往後看的話，我感覺還是亞馬遜等國外雲提供的引入第三方安服作為增值可選服務的模式更好。

我一度因為阿里雲的這種模式對安全行業感到悲觀，今天看到這個問題下還是有很多人能看到深層次的問題，感覺心情好了點。

畢竟葉敏已被月餅殺。23333

還真是把客戶當自家人啊？

自己公司內服務這麼干正常，給客戶託管服務把尿不要告知的么？

另外要在虛擬機內運行進程是什麼情況，求詳細。

一切非授權的攻擊測試都屬於違法行為.

一切非授權的攻擊測試都屬於違法行為.
一切非授權的攻擊測試都屬於違法行為.

國內這安全圈的氛圍給某些假清高"白帽子"給整的一套套的. 做了不對的事, 說的天經地義.

買了阿里雲以後的第一件事情就是卸載雲頓，這就是個阿里雲的木馬。

用戶未授權的滲透測試，不就是攻擊么？