列举遇到的一些告警场景,不涉及具体业务。

未遵守规范

  • 登录账号同步 chrome 设置,把家里电脑装的 MetaMask 插件同步到办公电脑上,然后每次开浏览器都触发访问交易所的 dns 请求,导致一直报挖矿告警。
  • xff头未正确配置导致告警为内对内大量扫描,其实上是网关转发到后端,外对内。
  • 大型多人运动项目期间弱口令检查,由于基础镜像配置有默认用户导致内网存在大量通用弱口令,负责人统一改了弱密码,但没有同步给业务,导致业务登录不上,触发大量爆破告警。
  • 以前应急用 github 上应急扫描工具 Gscan 排查,用完没删,后面防病毒将其判断成病毒文件。
  • 用 kms 激活,然后扔到回收站,结果没有清理回收站,被全盘扫描扫描出来告警。
  • 下载wireshark太慢,搜了个中文版wireshark。。。

操作失误

  • 开发登录代码平台,走的是域认证,输入错误密码,多点了几次,导致 ldap 爆破告警。
  • ssh登录操作时复制错了,将密码直接明文粘贴到终端中回车了,导致 histroy 历史记录了 ssh 密码,然后运行了 history -c 清理了历史记录,导致触发清理历史记录告警。

逻辑互斥

  • 垃圾邮件网关会验证邮件 SPF/DKIM/DMARC 所以会发出多个 DNS 请求,当触发恶意域名查询请求会导致 dns 安全产品告警。
  • 主机上多个安全软件打架,某杀毒软件进行定时任务触发的文件蜜罐访问导致告警。
  • 主机上单个安全产品,防病毒功能全盘扫描扫到自己文件蜜饵触发的告警。

无辜中枪

  • 通报 chrome 浏览器漏洞情报,赶紧更新chrome,结果 bing 搜索到银狐的仿冒 chrome-web 站点,访问导致告警。