V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
hpayton
V2EX  ›  云计算

腾讯云——请不要动我的奶酪

  •  
  •   hpayton · 2017-06-20 17:16:18 +08:00 · 8931 次点击
    这是一个创建于 2711 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近用腾讯云着实被气到了!
    假借安全的名义对我的数据进行侵犯,是可忍孰不可忍!
    虽然我是屌丝,但是我也有尊严,请不要随意践踏!!
    既然你要偷窥我数据,那我就翻一下你的老底,让大家看看腾讯云究竟是如何窥探数据的,来揭露你的丑恶行径。
    因为本人比较土,只会用乌班图,所以就采用全新的 Ubuntu 14.04 系统。

    装好系统后,首先检查开机进程数,腾讯云默认的开机进程数在 83 个。

    扫了一眼腾讯云的进程列表,看到了有三个明显是腾讯云的监控进程和三个疑似监控进程。
    如下图所示,我都圈出来了,虽然这个考试不会考=。=|||。

    Watchdog 顾名思义,一看就不是什么好鸟。Anyway,打开看看,里面究竟是个啥。

    由于是明文(这是赤裸裸侵犯的铁证),我们可以直接看到,watchdog 主要是用于唤醒 secu-tcs-agent-mon.safe.sh 这个文件。通过这么长而且分段的文件名,那么我推测它应该是一个监控进程。那么就继续看这个文件吧。

    这个文件的作用主要是来唤起 secu-tcs-agent 进程,而 secu-tcs-agent 就是所谓的腾讯云“安全客户端”,它就相当于一个特洛伊木马,笔直地插在我的服务器上。

    继续分析,依旧是脚本(不难看出,腾讯的安全能力是多么暴力,用这堆脚本就开始随意践踏我的数据了)。继续分析这个进程的日志后,发现 sgagent 的主要作用是唤起上级目录中 monitor/barad/admin 目录下的 trystart.sh 这个文件。
    继续分析 trystart.sh 。

    这个文件启动了 bin 目录下的 agent.py 文件。这个文件会启动我们最后要分析的 brand_agent 进程(它就是一切行为的元凶)。这个进程的主要工作就是收集系统的各项信息如磁盘信息、内存信息、CPU 信息、TCP 端口信息等,再上报给云监控服务。
    最后,回过头来看看 secu-tcs-agent 进程。这个进程本身不执行太多的工作,主要是调用其插件发送信息。按照目录和插件的特性,感觉只要 agent 愿意,啥东西他都能看,而且真的能看。因为它直接就能在你机器上执行,而且可以运行任何命令和脚本!


    根据提示,可以看出 SAP1004 主要上传了三个日志信息。至于 SAP1005 上传了哪些内容,就需要对这两个文件进行解码,然后还原真实的数据了。当然这个不难,把编码的 agent 拖进 ida 里还是很快能还原的,这里就不赘述了。如果有你兴趣和耐心,相信你能看到更多让你惊讶到掉下巴的东西!
    说了这么多,我来整理一下,给大家补一张图说明各个文件之间的关系。

    最后总结一下对腾讯云所谓的安全客户端的分析:
    1 ) 加密传输了一堆本属于我服务器的数据。首先它没有明确告知我们它收集了什么,传输了什么;其次我不知道它到底采集了什么数据,而这些数据为什么要加密发送?!是不是里面有我的私钥,甚至我其他重要数据?这种随意的行为令人发指!
    2 ) 就实现机制本身而言,通过脚本控制是一件非常危险的事情。一是没有上下文校验和文件水印(可以被伪造下发功能和篡改执行脚本)。二是脚本的插件机制容易被恶意软件利用,借助 Agent 的白名单(因为 Agent 是无条件被信任的),黑客可以为所欲为(俗称白加黑模式)。
    因此,对于打着所谓安全旗号默认安装的腾讯云 Agent,我的态度也是坚决而彻底的——删除且永不启用。顺便呼吁各位,抽空好好了解一下这个危险的东西,像定时炸弹一样安插在自己服务器里,细思极恐!
    36 条回复    2017-06-26 11:40:46 +08:00
    19zero
        1
    19zero  
       2017-06-20 18:16:57 +08:00
    卧槽,还有这种操作,真是有够不要脸的
    wintab
        2
    wintab  
       2017-06-20 21:04:00 +08:00
    现在大部分云商都这样吧,毕竟很多云的底层在数据获取上存在缺陷,还有密码重置这些个功能,不驻留些接口和后门是提供不了这些个功能体验的!~
    sunflyer
        3
    sunflyer  
       2017-06-20 22:34:00 +08:00   ❤️ 1
    你可能忘了大明湖畔的千万云。
    hpayton
        4
    hpayton  
    OP
       2017-06-21 09:55:27 +08:00
    @wintab 但也不能这么明晃晃的侵犯我的隐私啊!
    wuligear
        5
    wuligear  
       2017-06-21 10:18:27 +08:00
    思细级恐,big brother is watching you !
    fansmaster
        6
    fansmaster  
       2017-06-21 10:20:32 +08:00
    现在的厂商很多都是这样,法理何在?
    cnfreesw
        7
    cnfreesw  
       2017-06-21 10:54:24 +08:00
    @wintab 瞧你这意思,你常宣传的那个云也有?
    mytsing520
        8
    mytsing520  
       2017-06-21 10:58:27 +08:00
    基本上国内外都有
    Qcui
        9
    Qcui  
       2017-06-21 11:21:19 +08:00
    喜欢楼主这样的,有理有据,令人信服,另吐槽:国内监控真是无处不在啊
    wintab
        10
    wintab  
       2017-06-21 11:27:46 +08:00
    @hpayton 确实是双刃剑,全透明又恐数据安全问题,加密又有隐私担忧。
    wintab
        11
    wintab  
       2017-06-21 11:29:53 +08:00
    @cnfreesw 这个真木有,欢迎来查,当时给产品经理否掉的,正持续被需求反馈吐槽~
    wuligear
        12
    wuligear  
       2017-06-21 13:06:43 +08:00
    @fansmaster 印象中谷歌不是这样的啊
    hrbwaxdoll
        13
    hrbwaxdoll  
       2017-06-21 13:59:01 +08:00
    @wintab 这是 gov 的要求吧,不是产品的要求。
    wuligear
        14
    wuligear  
       2017-06-21 14:04:10 +08:00
    @cnfreesw 睿江云这块的防御怎么样?
    19zero
        15
    19zero  
       2017-06-21 15:58:36 +08:00
    @mytsing520 能列举一下国外哪家么?
    kmahyyg
        16
    kmahyyg  
       2017-06-21 16:23:15 +08:00 via Android
    @mytsing520 就我用过的,do 和 gce 在没经过你同意都不会装
    wyntergreg
        17
    wyntergreg  
       2017-06-21 17:20:09 +08:00
    你需要一本新的《网络安全法》来平息你暴躁脆弱的心灵。没错,这个月 1 号正式实施的那个版本。
    19zero
        18
    19zero  
       2017-06-21 17:51:22 +08:00
    @wyntergreg 新法里怎么说的?
    doggg
        19
    doggg  
       2017-06-21 19:06:46 +08:00   ❤️ 1
    没事。等你删完想哭的心都有。
    我们好奇你们这群人一直说云服务器里跑了腾讯的进程。其实腾讯在你注册服务器的时候就有提示你是否同意云监控。上次有人吐槽阿里云的进程, 我索性也把腾讯的进程删了。现在 cpu 负载,内存负载等数据都显示不了。所以大伙,探索可以多一点,但内心戏少一点。(没事,我只是吐槽自己当时没搞明白就删了进程)
    doggg
        20
    doggg  
       2017-06-21 19:10:24 +08:00
    @doggg 语气好像过了。我总体的意思是如果大伙觉得不安心,有可以不需要云监控功能,那删了即可。
    c4fun
        21
    c4fun  
       2017-06-21 19:20:11 +08:00
    你国的云都有网络安全法的要求,要求防病毒、监控、日志审计啥啥啥的。这些是带 agent 的防病毒,不得不装啊。
    ReallllQCloud
        22
    ReallllQCloud  
       2017-06-21 22:46:34 +08:00   ❤️ 1
    上面 DOGE 说的对,这个是云监控的 agent,无论哪家只要做云监控就肯定会有个这玩意儿。
    云监控就是主机 CPU,内存,IO 等等状态的实时监控,你买机器的时候有个地方可以勾的,不想要买的时候不勾就是了
    mingyun
        23
    mingyun  
       2017-06-21 23:15:14 +08:00
    还有这种操作
    hpayton
        24
    hpayton  
    OP
       2017-06-22 10:08:19 +08:00
    @ReallllQCloud 这个默认安装的,也没什么明显位置的提示啊
    ReallllQCloud
        25
    ReallllQCloud  
       2017-06-22 10:26:49 +08:00
    @hpayton 确实是默认勾上,因为作用仅仅是上报主机状态数据。。。这种功能百利而无一害,你想要真是盗取信息的,腾讯云完全可以连选择入口都不给,然后进程和相关启动方式也模糊和隐藏起来不是更好
    当然,要不信任又懒的手动删,那就买机器的时候留心不勾就是了
    40huo
        26
    40huo  
       2017-06-22 16:29:12 +08:00
    删了就没状态监控了啊,DO 也有这东西的。
    neil90
        27
    neil90  
       2017-06-22 17:18:28 +08:00
    楼主肯定选择的是快捷安装,如果选择自定义安装,在第四步“信息设置”的最下面有选项 [云安全] 和 [云监控] ,默认是勾选的,楼主如果不想要这功能就取消
    Silicon
        28
    Silicon  
       2017-06-23 01:47:12 +08:00
    安装时有提示的。第三步还是第四步来着,差不多那里吧。

    另外你能在不开 IDA 的情况下把流程整理成这样,说明人家就没想瞒着你……
    hpayton
        29
    hpayton  
    OP
       2017-06-23 10:24:16 +08:00
    @neil90 是快捷安装,但快捷就可以不提示隐私选项了?这不是陷阱么!!
    esplendo
        30
    esplendo  
       2017-06-23 11:41:51 +08:00   ❤️ 1
    UCloud 为了客户隐私,一直没有装 Agent (即便这会对管理的便捷性产生困扰)。以后有的话是会在显著位置标明安全用途,默认不安装,让客户可选安装。
    ech0x
        31
    ech0x  
       2017-06-23 13:22:10 +08:00 via iPad
    阿里不是也有这个嘛,每次我还不小心会把这个进程干掉。
    xvx
        32
    xvx  
       2017-06-23 14:01:48 +08:00 via iPhone
    Chaos;Head
    是谁在注视着你。
    est
        33
    est  
       2017-06-23 23:15:24 +08:00
    所以你们云计算厂商就没人会玩免 agent 监控技术。snmp ssh 什么的一大堆。
    flyfishcn
        34
    flyfishcn  
       2017-06-24 12:29:55 +08:00
    @est 然后第二天,就会有人发帖,XX 云---竟然私自给我开启 snmp 服务,添加 SSH 后门。
    Murphy7
        35
    Murphy7  
       2017-06-24 12:57:47 +08:00
    你是会玩 vps 的 ,要是遇到小白,没有这玩意儿,vps 出了事(比如 ddos,cc )都不知道.小白脸懵逼。厂商都是从全局考虑的。
    wuligear
        36
    wuligear  
       2017-06-26 11:40:46 +08:00
    阿里云前段时间不是也出过类似的事,大家回复的口气完全不一样啊…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5283 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:15 · PVG 16:15 · LAX 00:15 · JFK 03:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.