《服務器的重啟攻擊手法分享》COSCUP 2023 閃電講

# 服務器的<br>重啟攻擊手法分享 COSCUP 2023 閃電講林博仁 0w0/ CC BY-SA 4.0+ <https://hackmd.io/@brlin/server-reboot-attacks> --- ## `$ whoami` * 中信安科技維運工程師 ~~工作募集中~~ * ~~C~~ ~~C++~~ ~~Java~~ ~~Python~~ Bash 開發者 * ~~Arch Linux~~ Ubuntu 台灣社群成員 * ~~Flatpak~~ Snap 軟體包打包者 * ~~正體~~ 台灣中文翻譯社群成員 <https://brlin.me> --- ## 目標受眾 * 有在自架/租用第三方機房服務器 * 不想要自己/公司的主機變成 DDoS 肉雞 --- ## 緣起 * 服務器突然被重啟（凌晨 3~6 AM） * 服務器日誌： * 無硬體錯誤 * 無軟體異常 * 無檔案系統日誌重放，非強制重啟只不過是自己重開了一下，好像沒什麼問題？ --- ## 越想越不對勁……？ ![來自未來的文件](https://hackmd.io/_uploads/SkYEEYmj2.png "來自未來的文件") ![看起來像是核心線程的一般進程](https://hackmd.io/_uploads/BJ9dxYQsn.png "看起來像是核心線程的一般進程") --- ## 攻擊原理 1. 攻擊者透過機房 KVM 設備 / IPMI 取得主機的控制台權限 2. 於控制台發送 Ctrl + Alt + Delete 重開主機 3. 開機到自己準備的開機碟（繞過原系統安全限制），埋入惡意程序 4. 重新啟動服務器 ~~profit~~ --- ## 攻擊原理 ![「因硬體時鐘判讀方式不一致造成之檔案修改時間異常問題」示意圖](https://hackmd.io/_uploads/S1EdfFXih.png "「因硬體時鐘判讀方式不一致造成之檔案修改時間異常問題」示意圖") --- ## 原因分析服務器 IPMI 管理界面訪問未限制 ![服務器 IPMI 管理界面訪問未限制](https://hackmd.io/_uploads/HJ9fBFQi2.png "服務器 IPMI 管理界面訪問未限制") --- ## 原因分析 \.\.\.┌(┌\^o\^)┐公網裸奔中 ![IPMI Web 管理界面裸奔](https://hackmd.io/_uploads/r1dcStQs2.png "IPMI Web 管理界面裸奔") --- ## 原因分析當然也不排除是機房人員的蓄意行為 :shrug: --- ## 預防與止損 * 檢查主機是否有不安全的 IPMI 帶外(OOB)連接配置 * 主板韌體設定密碼，鎖住其他開機路徑 * 部署服務器重啟告警 * 部署檔案異動監控 * 非預期的服務器重啟須進行安全檢查 * ~~租用主機不要 costdown 選擇便宜機房~~ --- ## 預防與止損 ![](https://hackmd.io/_uploads/BkanOKmjh.png) --- ## 工商服務時間 ![](https://hackmd.io/_uploads/Hk0Y5F7sh.png) --- ## 工商服務時間 ![](https://hackmd.io/_uploads/SyN7jt7j2.png =400x400) [維運猿的共同筆記](https://hackmd.io/@ops-notes-tw/home)