V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pixstone
V2EX  ›  信息安全

公司 iMac 上的私钥遭到了泄露,不知道泄露途径。

  •  1
     
  •   pixstone · 2015-08-07 11:57:35 +08:00 · 4666 次点击
    这是一个创建于 3430 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司 iMac 的私钥泄露了。
    昨天晚上,收到阿里的报警邮件,说服务器被异地登陆。
    经过检查,发现公司 iMac 上的私钥泄露了。这个私钥生成后就没拷贝到其他设备上。由于是公司电脑,就没有加密处理了。没想到泄露了。

    机子上会用到私钥的软件:
    MongoHub (GitHub项目首页下载的)
    Sequel Pro (Air 上拷贝的,来源忘记了)
    FileZiila (官网下载)
    MySQLWorkbench( 官网下载)

    现在在纠结到底是从什么途径泄露出去的。朱军有什么好的意见和想法么?

    20 条回复    2015-08-09 07:13:26 +08:00
    maxsec
        1
    maxsec  
       2015-08-07 12:46:15 +08:00
    找原因前先更换掉.
    pixstone
        2
    pixstone  
    OP
       2015-08-07 12:56:52 +08:00
    @maxsec
    昨晚 初判是 私钥泄露的时候 就紧急处理了,服务器上相关的 authorized_key 都处理掉了...
    现在抹掉硬盘,重装系统中。
    KexyBiscuit
        3
    KexyBiscuit  
       2015-08-07 13:05:22 +08:00 via Android
    mkeith
        4
    mkeith  
       2015-08-07 13:17:23 +08:00
    是不是挂代理了啊
    rio
        5
    rio  
       2015-08-07 13:24:00 +08:00
    你都没有加密处理,怎么能排除那些没有使用到私钥的软件呢?不过就是你个人目录下的一个普通文件,随便哪个软件都可以读取。
    pixstone
        6
    pixstone  
    OP
       2015-08-07 13:49:27 +08:00 via iPhone
    @rio 其他软件的话,就剩迅雷 pycharm。sourcetree ,keka。然后就没了。...其他有key的服务器没有被登陆过,只有用ssh代理访问内网资源的跳板服务器被异地登录了。...
    zur13l
        7
    zur13l  
       2015-08-07 18:28:25 +08:00   ❤️ 2
    @pixstone 没搞清楚原因前就格盘。如果是渗透,你找不到原因就算吧硬盘吃了,也照样泄露。
    zur13l
        8
    zur13l  
       2015-08-07 18:34:21 +08:00   ❤️ 1
    @pixstone 可以检查一下是不是内网已经被渗透了。
    之前就见过一个案例甲方公司IMAC上有装vnc密码是123456。(举例)
    导致重装很多次后源码依然泄露。
    异地登录的话如果排除是误报。公司又没有做资安的同事的话,建议找专业的团队做一下安全审计。
    cuebyte
        9
    cuebyte  
       2015-08-07 18:39:51 +08:00
    为什么不去问问万能的多多呢(逃
    cuebyte
        10
    cuebyte  
       2015-08-07 18:46:18 +08:00
    怎么判断是私钥泄露的?有禁止root登陆吗?
    pixstone
        11
    pixstone  
    OP
       2015-08-07 19:52:11 +08:00
    @zur13l 渗透可能性不大,那台 iMac 上登录过 几乎所有的 服务器。但只有为了方便查询 MySQL 的跳板数据库被登录了。其他服务器没有,如果是渗透的应该所有服务器都会进行被登录的,毕竟拿到私钥外还要知道什么服务器可用,必然会测试其他服务器的联通性等等。

    至于内网安全的话,谢谢提醒。是有开过屏幕共享这样的。




    @cuebyte
    ssh 那边限制了,只允许私钥登录。auth.log 也有异地登录的日志。
    Radeon
        12
    Radeon  
       2015-08-07 20:06:48 +08:00
    随便什么没有sandbox的软件都有权限读 ~/.ssh/ 啊,这有什么奇怪

    实际上利用浏览器的0day来读用户 ~/.ssh/ 不是老把戏了么
    Radeon
        13
    Radeon  
       2015-08-07 20:36:46 +08:00
    kiritoalex
        14
    kiritoalex  
       2015-08-07 20:39:51 +08:00
    有thunderbolt嗎?沒準兒是通過雷電接口感染了個病毒
    auzeonfung
        15
    auzeonfung  
       2015-08-07 20:52:53 +08:00
    我觉得不一定是软件泄露的啊,员工泄露的可能性也不能排除吧……?
    qiaoka
        16
    qiaoka  
       2015-08-07 21:44:59 +08:00
    不要安装盗版软件。
    pixstone
        17
    pixstone  
    OP
       2015-08-07 21:54:24 +08:00 via iPhone
    员工泄露的可能性 不大。个人还是比较信任团队的
    @auzeonfung
    RIcter
        18
    RIcter  
       2015-08-08 01:46:03 +08:00 via iPhone
    不好說⋯可能被反彈了 shell 也說不定⋯
    XV2E
        19
    XV2E  
       2015-08-08 14:23:50 +08:00 via Android
    有人想要跳槽
    ipv6nxtgnwrt
        20
    ipv6nxtgnwrt  
       2015-08-09 07:13:26 +08:00
    建议全部开源,不留一个闭源软件。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   950 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 21:29 · PVG 05:29 · LAX 13:29 · JFK 16:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.