लॉन्च के तुरंत बाद AWS EC2 botnet संक्रमण के दो लगातार मामलों का विश्लेषण (Security Group से Docker isolation तक)
(qa-arena.qalabs.kr)QA इंजीनियरों के लिए test code बनाने का hands-on practice platform, QA Arena, हमने हाल ही में लॉन्च किया।
सेवा लॉन्च करने के बाद मैं सोच रहा था, "GeekNews पर एक परिचय पोस्ट डालना चाहिए," लेकिन परिचय से पहले AWS security incident का एक retrospective (Post-Mortem) ही पहले पोस्ट करना पड़ा।
'Vibe Coding' के जरिए तेज़ी से development करने की प्रक्रिया में छूटी security settings ने क्या परिणाम पैदा किए, और QA के नज़रिए से हमने कैसे प्रतिक्रिया दी, यह साझा कर रहा हूँ।
1. Incident Timeline & Analysis
-
Phase 1 (2025.12): Inbound/Outbound Policy Failure
- लक्षण: instance में CVE-2017-18368 आदि IoT exploit हमलों के संकेत और असामान्य communication का पता चला।
- कारण: Security Group का Egress (आउटबाउंड)
All Trafficपर खुला था, इसलिए संक्रमित process बाहरी दुनिया से communicate कर पा रहा था। - पहली कार्रवाई: contaminated instance को isolate किया गया और AWS Systems Manager (SSM) अपनाकर administrator access सीमित किया गया।
-
Phase 2 (2026.01.14): Docker Container Escape
- लक्षण: AWS Trust & Safety टीम से "Botnet C&C server के साथ communication detected" वाला Abuse Report प्राप्त हुआ। (IP:
72.62.195.44) - Root Cause: user-submitted code चलाने वाले Docker container पर network isolation लागू नहीं किया गया था। AI-generated code इस्तेमाल करते समय
network_modesetting छूट गई थी.**
- लक्षण: AWS Trust & Safety टीम से "Botnet C&C server के साथ communication detected" वाला Abuse Report प्राप्त हुआ। (IP:
- Mitigation (तकनीकी प्रतिक्रिया)**
incident को पहचानते ही, QA process को infrastructure क्षेत्र पर लागू करते हुए निम्नलिखित कदम उठाए गए।
- Network Isolation: malicious IP के साथ सभी active connections ब्लॉक किए गए।
- Security Group Hardening: outbound traffic को सख्ती से केवल HTTPS(443) तक सीमित किया गया।
- Code Patch:
docker_service.pycode में बदलाव कर सभी worker containers परnetwork_mode="none"को force किया गया।
3. Conclusion
ऊपर दिए गए कदमों (Evidence Attached) के आधार पर AWS पक्ष को स्पष्टीकरण दिया गया और अंततः [Resolved] का निर्णय मिला।
[IMG] AWS समाधान प्रमाण छवि
![[IMG] AWS समाधान प्रमाण छवि](https://github.com/JunghyunRyu/qa_labs/raw/main/docs/20251231_%ED%95%B4%EA%B2%B0_%EC%9D%B4%EB%AF%B8%EC%A7%80.png){kind=link}
यह incident इस बात की ओर इशारा करता है कि "QA का दायरा application code से आगे बढ़कर infrastructure configuration तक विस्तृत होना चाहिए"।
कठिन शुरुआती परीक्षा और security verification पूरा कर चुका QA-Arena है। कृपया बहुत-सा feedback दें।
🔗 QA-Arena: https://qa-arena.qalabs.kr/
2 टिप्पणियां
AI का इस्तेमाल करते समय पैदा हुई सुरक्षा समस्या को AI से हल किया और उस प्रक्रिया को भी AI की मदद से संक्षेप में लिखकर GeekNews पर पोस्ट किया।
यह तो सच में..