วิเคราะห์การติดบอตเน็ตบน AWS EC2 สองระลอกหลังเปิดตัวทันที (ตั้งแต่ Security Group ไปจนถึงการแยก Docker)
(qa-arena.qalabs.kr)เมื่อไม่นานมานี้ ผมได้เปิดตัว QA Arena ซึ่งเป็นแพลตฟอร์มฝึกปฏิบัติการสร้างเทสต์โค้ดสำหรับวิศวกร QA
หลังจากเปิดตัวบริการ ผมตั้งใจว่า "เดี๋ยวจะโพสต์บทความแนะนำใน GeekNews สักครั้ง" แต่กลับได้มาโพสต์บันทึกทบทวนเหตุการณ์ด้านความปลอดภัยของ AWS (Post-Mortem) ก่อนบทความแนะนำเสียอีก
ผมขอแบ่งปันว่าการตั้งค่าความปลอดภัยที่พลาดไปในกระบวนการพัฒนาอย่างรวดเร็วด้วย 'Vibe Coding' นำไปสู่ผลลัพธ์แบบไหน และรับมืออย่างไรจากมุมมองของ QA
1. Incident Timeline & Analysis
-
Phase 1 (2025.12): Inbound/Outbound Policy Failure
- อาการ: ตรวจพบสัญญาณการโจมตีแบบ IoT exploit เช่น CVE-2017-18368 และการสื่อสารที่ผิดปกติจากอินสแตนซ์
- สาเหตุ: Egress (ทางออก) ของ Security Group เปิดเป็น
All Trafficทำให้โปรเซสที่ติดเชื้อสามารถสื่อสารกับภายนอกได้ - การรับมือครั้งที่ 1: แยกอินสแตนซ์ที่ปนเปื้อนออก และนำ AWS Systems Manager (SSM) มาใช้เพื่อจำกัดการเข้าถึงของผู้ดูแลระบบ
-
Phase 2 (2026.01.14): Docker Container Escape
- อาการ: ได้รับ Abuse Report จากทีม AWS Trust & Safety ว่า "ตรวจพบการสื่อสารกับเซิร์ฟเวอร์ Botnet C&C" (IP:
72.62.195.44) - Root Cause: Docker คอนเทนเนอร์ที่ใช้รันโค้ดที่ผู้ใช้ส่งมาไม่ได้ใช้ การแยกเครือข่าย โดยเมื่อตอนใช้โค้ดที่สร้างโดย AI มีการตกหล่นของการตั้งค่า
network_mode**
- อาการ: ได้รับ Abuse Report จากทีม AWS Trust & Safety ว่า "ตรวจพบการสื่อสารกับเซิร์ฟเวอร์ Botnet C&C" (IP:
- Mitigation (การตอบสนองทางเทคนิค)**
ทันทีที่รับรู้เหตุการณ์ ได้ประยุกต์ใช้กระบวนการ QA กับงานด้านอินฟราและดำเนินการดังนี้
- Network Isolation: ตัดการเชื่อมต่อที่ยังใช้งานอยู่ทั้งหมดกับ IP อันตราย
- Security Group Hardening: จำกัด Outbound traffic อย่างเข้มงวดให้เหลือเฉพาะ HTTPS(443)
- Code Patch: แก้ไขโค้ด
docker_service.pyเพื่อบังคับใช้network_mode="none"กับทุก worker container
3. Conclusion
ได้ชี้แจงมาตรการข้างต้นพร้อมหลักฐานแนบ (Evidence Attached) ให้กับ AWS และได้รับการตัดสินสถานะสุดท้ายเป็น [Resolved]
[IMG] ภาพหลักฐานการแก้ไขจาก AWS
![[IMG] ภาพหลักฐานการแก้ไขจาก AWS](https://github.com/JunghyunRyu/qa_labs/raw/main/docs/20251231_%ED%95%B4%EA%B2%B0_%EC%9D%B4%EB%AF%B8%EC%A7%80.png){kind=link}
เหตุการณ์ครั้งนี้ชี้ให้เห็นว่า "ขอบเขตของ QA ต้องขยายจากโค้ดแอปพลิเคชันไปจนถึงการตั้งค่าอินฟรา (Configuration)"
นี่คือ QA-Arena ที่ผ่านพิธีรับน้องอันหนักหน่วงและผ่านการตรวจสอบด้านความปลอดภัยมาแล้ว ขอฝากคำแนะนำและฟีดแบ็กด้วยครับ
🔗 QA-Arena: https://qa-arena.qalabs.kr/
2 ความคิดเห็น
ใช้ AI แก้ปัญหาความปลอดภัยที่เกิดขึ้นจากการใช้ AI และสรุปกระบวนการด้วย AI เพื่อนำมาโพสต์ใน GeekNews
นี่มันช่าง...