记一次个人aws账户被黑客攻击与处理的全过程

谢谢唯心
377 阅读4分钟

事件经过

时间线

被攻击过程

2024-08-17 06:14 黑客执行 Amazon Registrar 注册确认

2024-08-17 06:25 黑客开始利用 泄漏的key使用aws cli进行注册域名(aws route 53)

2024-08-17 08:28 设置aws ses 的 DKIM ,期间并开启n个 lighsail(aws 虚拟机)

2024-08-17 11:19aws风控检查到账户异常,第一次邮件通知,暂停了aws的aws部分服务(这个邮箱已经弃用了,所以没收到告警)

2024-08-17 11:22aws风控检查账户异常,第二次邮件通知,暂停了aws所有服务,并限制了泄漏的key(这个邮箱已经弃用了,所以没收到告警,aws风控真牛,不然一觉睡醒房子没了)

aws告警邮件

发现过程

2024-08-18 22:38日常使用邮件收到aws的账单告警,打开aws console,发现登录不上,需要重置密码 (该死,登录的是用qq邮箱,那个qq好多年没用了,又去找回qq密码才能重设aws console的登入密码)

2024-08-18 22:50发现qq邮箱好多aws的邮件通知(意识到aws被攻击了,慌了~)

处理过程

2024-08-18 23:05重设密码,登入aws console,发现n多虚拟机在运行着(当时很慌,一股脑全删了~[应该留一台出来看看是干嘛用的])

2024-08-19 01:30 排查完整个aws服务,删除泄漏的key(当时心急,没有看清楚邮件,邮件说删除泄漏的key和aws iam的用户,我把我自己的登录用户给注销了~,又开始为期两天的找回用户,给aws发工单,开始吐槽邮件沟通效率低~)

2024-08-19 19:44aws重新开启了我手滑注销的账户,开始重新审查aws后台,查看账单,预计被消费 177刀 (吓~,虽然aws不用,但是还是绑定信用卡)

退费沟通过程

2024-08-19 20:44发工单去申请免掉未授权使用的服务产生的费用(网上查到可以申请通过,然后开始长达半个月的沟通与交流,中途aws要求设置多种告警和监控,积极沟通)

2024-09-03信用卡被扣款了(扣了70多刀,天黑了~~~然后又发工单去跟进,aws回复未授权的费用还在审核中,中途aws多次主动发邮件过来说不用担心)

2024-09-08aws退款了(至此结束)

寻找被攻击原因

1. 咨询aws是如何被进行攻击的,aws反馈多种可能性

Thank you for reaching out and for your notification.

Based on your request, please note that unfortunately, we can’t view the exact root cause. However, the following are common patterns of suspicious activity:

- An unpatched Amazon Elastic Compute Cloud (EC2) instance is infected and became a botnet agent.
- Credentials or access keys have been exposed.
- An overly aggressive web crawler might be classified as a denial-of-service attack by some internet sites.
- An end user posted malware files on a public Amazon S3 bucket.
- Sometimes internet users mistakenly report legitimate activities as abuse.

In order to prevent this to happen, it is a best practice to monitor your account and its resources for any unusual activity or unauthorized access. 

AWS CloudTrail and Amazon GuardDuty provide additional insight into the reasons for unauthorized activity.

2.自己反思所用过的IAM的key

  1. 2020年调试aws s3上传图片有使用过
  2. 2023年调试aws ses使用过,并一直存在荒废已久的aws ec2的机器上
  3. 这个key有上传到一个github的私有仓库
  4. 这个key有存到微信的收藏夹

结论:无法定位入口,大概率是ec2被入侵

举一反三

  1. aws上没用的key应及时删掉
  2. 使用key应该最小权限原则(重点)
  3. 敏感的秘钥不能写到代码上,无论是公有还是私有的仓库
  4. 遇事需冷静
  • 错误看成注销aws账户是真的醉了
  • 一下子删完了黑客开的虚拟机也无法定位他们用来做什么
  • 积极沟通,耐心等待
avatar
文章
阅读
粉丝