腾讯云——请不要动我的奶酪
最近用腾讯云着实被气到了!
假借安全的名义对我的数据进行侵犯,是可忍孰不可忍!
虽然我是屌丝,但是我也有尊严,请不要随意践踏!!
既然你要偷窥我数据,那我就翻一下你的老底,让大家看看腾讯云究竟是如何窥探数据的,来揭露你的丑恶行径。
因为本人比较土,只会用乌班图,所以就采用全新的 Ubuntu 14.04 系统。
装好系统后,首先检查开机进程数,腾讯云默认的开机进程数在 83 个。
扫了一眼腾讯云的进程列表,看到了有三个明显是腾讯云的监控进程和三个疑似监控进程。
如下图所示,我都圈出来了,虽然这个考试不会考=。=|||。
Watchdog 顾名思义,一看就不是什么好鸟。Anyway,打开看看,里面究竟是个啥。
由于是明文(这是赤裸裸侵犯的铁证),我们可以直接看到,watchdog 主要是用于唤醒 secu-tcs-agent-mon.safe.sh 这个文件。通过这么长而且分段的文件名,那么我推测它应该是一个监控进程。那么就继续看这个文件吧。
这个文件的作用主要是来唤起 secu-tcs-agent 进程,而 secu-tcs-agent 就是所谓的腾讯云“安全客户端”,它就相当于一个特洛伊木马,笔直地插在我的服务器上。
继续分析,依旧是脚本(不难看出,腾讯的安全能力是多么暴力,用这堆脚本就开始随意践踏我的数据了)。继续分析这个进程的日志后,发现 sgagent 的主要作用是唤起上级目录中 monitor/barad/admin 目录下的 trystart.sh 这个文件。
继续分析 trystart.sh 。
这个文件启动了 bin 目录下的 agent.py 文件。这个文件会启动我们最后要分析的 brand_agent 进程(它就是一切行为的元凶)。这个进程的主要工作就是收集系统的各项信息如磁盘信息、内存信息、CPU 信息、TCP 端口信息等,再上报给云监控服务。
最后,回过头来看看 secu-tcs-agent 进程。这个进程本身不执行太多的工作,主要是调用其插件发送信息。按照目录和插件的特性,感觉只要 agent 愿意,啥东西他都能看,而且真的能看。因为它直接就能在你机器上执行,而且可以运行任何命令和脚本!
根据提示,可以看出 SAP1004 主要上传了三个日志信息。至于 SAP1005 上传了哪些内容,就需要对这两个文件进行解码,然后还原真实的数据了。当然这个不难,把编码的 agent 拖进 ida 里还是很快能还原的,这里就不赘述了。如果有你兴趣和耐心,相信你能看到更多让你惊讶到掉下巴的东西!
说了这么多,我来整理一下,给大家补一张图说明各个文件之间的关系。
最后总结一下对腾讯云所谓的安全客户端的分析:
1 ) 加密传输了一堆本属于我服务器的数据。首先它没有明确告知我们它收集了什么,传输了什么;其次我不知道它到底采集了什么数据,而这些数据为什么要加密发送?!是不是里面有我的私钥,甚至我其他重要数据?这种随意的行为令人发指!
2 ) 就实现机制本身而言,通过脚本控制是一件非常危险的事情。一是没有上下文校验和文件水印(可以被伪造下发功能和篡改执行脚本)。二是脚本的插件机制容易被恶意软件利用,借助 Agent 的白名单(因为 Agent 是无条件被信任的),黑客可以为所欲为(俗称白加黑模式)。
因此,对于打着所谓安全旗号默认安装的腾讯云 Agent,我的态度也是坚决而彻底的——删除且永不启用。顺便呼吁各位,抽空好好了解一下这个危险的东西,像定时炸弹一样安插在自己服务器里,细思极恐!
假借安全的名义对我的数据进行侵犯,是可忍孰不可忍!
虽然我是屌丝,但是我也有尊严,请不要随意践踏!!
既然你要偷窥我数据,那我就翻一下你的老底,让大家看看腾讯云究竟是如何窥探数据的,来揭露你的丑恶行径。
因为本人比较土,只会用乌班图,所以就采用全新的 Ubuntu 14.04 系统。
装好系统后,首先检查开机进程数,腾讯云默认的开机进程数在 83 个。
扫了一眼腾讯云的进程列表,看到了有三个明显是腾讯云的监控进程和三个疑似监控进程。
如下图所示,我都圈出来了,虽然这个考试不会考=。=|||。
Watchdog 顾名思义,一看就不是什么好鸟。Anyway,打开看看,里面究竟是个啥。
由于是明文(这是赤裸裸侵犯的铁证),我们可以直接看到,watchdog 主要是用于唤醒 secu-tcs-agent-mon.safe.sh 这个文件。通过这么长而且分段的文件名,那么我推测它应该是一个监控进程。那么就继续看这个文件吧。
这个文件的作用主要是来唤起 secu-tcs-agent 进程,而 secu-tcs-agent 就是所谓的腾讯云“安全客户端”,它就相当于一个特洛伊木马,笔直地插在我的服务器上。
继续分析,依旧是脚本(不难看出,腾讯的安全能力是多么暴力,用这堆脚本就开始随意践踏我的数据了)。继续分析这个进程的日志后,发现 sgagent 的主要作用是唤起上级目录中 monitor/barad/admin 目录下的 trystart.sh 这个文件。
继续分析 trystart.sh 。
这个文件启动了 bin 目录下的 agent.py 文件。这个文件会启动我们最后要分析的 brand_agent 进程(它就是一切行为的元凶)。这个进程的主要工作就是收集系统的各项信息如磁盘信息、内存信息、CPU 信息、TCP 端口信息等,再上报给云监控服务。
最后,回过头来看看 secu-tcs-agent 进程。这个进程本身不执行太多的工作,主要是调用其插件发送信息。按照目录和插件的特性,感觉只要 agent 愿意,啥东西他都能看,而且真的能看。因为它直接就能在你机器上执行,而且可以运行任何命令和脚本!
根据提示,可以看出 SAP1004 主要上传了三个日志信息。至于 SAP1005 上传了哪些内容,就需要对这两个文件进行解码,然后还原真实的数据了。当然这个不难,把编码的 agent 拖进 ida 里还是很快能还原的,这里就不赘述了。如果有你兴趣和耐心,相信你能看到更多让你惊讶到掉下巴的东西!
说了这么多,我来整理一下,给大家补一张图说明各个文件之间的关系。
最后总结一下对腾讯云所谓的安全客户端的分析:
1 ) 加密传输了一堆本属于我服务器的数据。首先它没有明确告知我们它收集了什么,传输了什么;其次我不知道它到底采集了什么数据,而这些数据为什么要加密发送?!是不是里面有我的私钥,甚至我其他重要数据?这种随意的行为令人发指!
2 ) 就实现机制本身而言,通过脚本控制是一件非常危险的事情。一是没有上下文校验和文件水印(可以被伪造下发功能和篡改执行脚本)。二是脚本的插件机制容易被恶意软件利用,借助 Agent 的白名单(因为 Agent 是无条件被信任的),黑客可以为所欲为(俗称白加黑模式)。
因此,对于打着所谓安全旗号默认安装的腾讯云 Agent,我的态度也是坚决而彻底的——删除且永不启用。顺便呼吁各位,抽空好好了解一下这个危险的东西,像定时炸弹一样安插在自己服务器里,细思极恐!
本文由 vps网友提供,转载请注明出处
本文链接: https://www.vpsvsvps.com/discuss/a/1676471841759170560.html
