这是一个创建于 1585 天前的主题,其中的信息可能已经有所发展或是发生改变。
国企 今年入职新员工 没有任何安全培训过 我也不知道不能内网穿透
为了方便维护 我把单位的服务器用 frp 内网穿透了
结果服务器数据库密码太简单 被通过数据库提权控制了服务器
然后导致内网 14 台服务器被黑中了勒索病毒
说是我违规操作
处理结果还没出来 想问问我得付多大责任
我觉得最多就是开除吧 不会让我赔偿吧
第 1 条附言 · 2020-08-04 11:48:19 +08:00
今天听说不追究我责任了 领导帮我压下来了 终于可以安心工作了
数据听说重新上传存档报表的方式人工补了
大家还是要引以为戒 比如楼里提到的弱口令 指定IP访问等
国企加上领导比较好 我也听从楼里建议认错态度比较好 才比较幸运的没被追责
 |
1
bxb100 2020-07-21 19:23:20 +08:00 via Android
运维?
|
 |
2
shoreywong OP @bxb100 #1 新成立的分公司 基本就我一个人开发 做网页 运维都是我 岗位是软件维护员
|
 |
3
wushigejiajia01 2020-07-21 19:26:19 +08:00 via Android
这比删库跑路还严重吧?🤪
|
 |
4
d5 2020-07-21 19:31:27 +08:00  4
最近不是攻防演练?是攻防演练的操作,还是真黑客呢。
我今天也惨了,也可能要被辞退了,具体不能说了。 |
 |
5
itskingname 2020-07-21 19:33:30 +08:00 via iPhone 4
要赔偿,一般是一百万以上
|
 |
6
banxiaobu 2020-07-21 19:36:48 +08:00 via iPhone
八九不离十,要赔偿,多少看具体怎么定量了。估计不光是你,领导也要,嗯,连带责任
|
 |
7
ferock 2020-07-21 19:39:35 +08:00 1
没有金刚钻别揽瓷器活
|
|
8
shoreywong OP @d5 #4 真黑客 被勒索了
|
 |
9
redtea 2020-07-21 19:40:12 +08:00 3
说不定要判刑,上次北京一家公司的项目经理把郑大一附院的数据库锁表,导致门诊系统无法正常使用,犯破坏计算机信息系统罪,判处有期徒刑五年零六个月。
|
 |
10
blindie 2020-07-21 19:42:13 +08:00 1
赔不赔看损失。判专业行为是不是过错,是看一般同岗位会不会范这事。我看同岗位基本不会这么大意。Frp 都自带 stcp,也不用,稍微有点意识啊。
前段时间运维操作有问题,800 万五年。 |
 |
11
LancerComet 2020-07-21 19:43:05 +08:00
如果生产环境重要数据丢失,基本上要做好裤衩赔光的准备了
|
 |
12
jkbspin 2020-07-21 19:44:33 +08:00
吃点好的吧..
|
 |
13
XiaoxiaoPu 2020-07-21 19:51:21 +08:00
@redtea 你这个有点吓人了,不至于。楼主的行为和服务器中毒无直接因果关系,真正造成系统无法使用的是攻击者。
|
 |
14
hiahiahiahia 2020-07-21 19:52:53 +08:00
该吃吃,该喝喝
|
 |
15
labulaka521 2020-07-21 19:56:00 +08:00 via iPhone
今天还有个帖子说 自已孕期想用内网穿透到公司内网
|
 |
16
vazo 2020-07-21 20:10:37 +08:00 1
岗前培训 数据库密码太简单 搞内网穿透的都有责任.谁好欺负,谁就是主要责任.
|
|
17
blindie 2020-07-21 20:11:12 +08:00 via Android
@XiaoxiaoPu 不吓人。罗老师讲要认清楚是 A->B->C 还是 B->C 这明显是前者 张三把人腿打断然后他因为动不了被冻死 张三负死亡责任的。你这犯了个是刀杀的人而不是人杀的人的谬误。
|
|
18
shoreywong OP @vazo #16 公司新成立没有人负责计算机方面岗前培训 我参加的岗前培训跟计算机无关
数据库密码是分公司一把手设的 单位也就十个人 |
 |
19
xy2020 2020-07-21 20:16:25 +08:00 via Android 2
主要看损失能否挽回,能挽回多少。
如果除了付赎金外没有其它办法挽回,赎金无论多少都需要由你承担。 此外,造成公司业务的损失,如果有合法证明,也需要你承担。没有证明的就算了。 总额过大、你无力承担的,就会追究刑事责任了。 |
 |
20
volqiu 2020-07-21 20:23:44 +08:00
心太大了,暂时继续保持吧,有律师朋友还是咨询一下吧……
|
|
21
shoreywong OP @blindie #17 我也看罗老师 但我觉得内网穿透然后造成比较大的损失是低概率
|
|
22
vazo 2020-07-21 20:28:42 +08:00 2
通话交流要保留好证据.只要你不是里应外合,应该不会只有你一个人的责任.
|
|
23
XiaoxiaoPu 2020-07-21 20:32:23 +08:00 3
@blindie 楼主这个事情,攻击者并不是死物 “刀”,而是有行为的能力的攻击者。别搞类比,类比没有说服力。我还类比成,张三是屠夫,他没有保管好自己的杀猪刀,李四偷了他的刀把王五杀了,问张三有什么责任?
|
 |
24
zealic 2020-07-21 20:35:37 +08:00 3
你本身就意识不到内网穿透带来的安全风险,是具有大部分责任的;
这种事情应该走流程,所以你确实违规了,如果是在涉密单位,那基本就得坐牢; 正规流程是申请 VPN 访问内网,如果 VPN 有问题则属于泄密或者维护者的问题,国企不差 VPN 设备这点钱。 |
 |
25
ifxo 2020-07-21 20:35:37 +08:00
赎金高不高,不高就自己掏了吧
|
 |
26
whywhywhy 2020-07-21 20:40:54 +08:00 1
你自己要用什么就映射什么,但是映射出去的一定不要有弱密码、已离职同事知道的密码也不行,安全防范的底线就是“可控”,像很多人喜欢用 Abc123 类似这样的密码去“符合密码要求规则”,还有就是互相分享自己账户的密码给别人,真的是很恶心,搞得一个个本来安全的东西变得一点都不安全。。
|
 |
27
raaaaaar 2020-07-21 20:43:33 +08:00 via Android 2
@blindie #10 这不抓反而抓运维,搞笑啊,运维就是操作有问题也不是故意把密码透露给别人的吧,哪天写 bug 造成损失岂不是程序员也要坐牢了。
|
|
29
bxb100 2020-07-21 20:54:42 +08:00 1
@shoreywong #2 新成立的估计业务数据也不会太重要, 保重
|
|
30
shoreywong OP @bxb100 #29 我们单位几乎没损失 主要是其它单位
|
|
31
blindie 2020-07-21 20:59:44 +08:00 via Android
@shoreywong 虽然很同情你的遭遇 但就事论事确实发生了相应后果 你主观认为是低概率 放裸端口也不是同行常规操作 这在法律上叫做“抱有侥幸心理,安全意识淡薄”
|
 |
32
goofool 2020-07-21 21:01:50 +08:00 via Android 1
为啥服务器被黑了就直接找到你了,你还告诉别人你用了 frp?
|
 |
33
Tvan 2020-07-21 21:02:33 +08:00 via iPhone
别吓楼主
|
 |
34
kuzhan 2020-07-21 21:03:19 +08:00
最近大鱼大肉该吃吃该喝喝吧,毕竟里面几年吃不到多少鱼肉!
|
 |
35
594duck 2020-07-21 21:05:26 +08:00 via iPhone 10
理论上你不是主观作恶,不会重判,另外你们单位自己一岗多责,权责不清,领导不重视安全问题,负主要责任。记住态度要好,表现诚恳。
另外你报警了么,记得提醒领导报警。 以后不懂不要乱弄。你方便人家也方便。我们买 vpn10 万,15 万,你以为是好玩啊。那是血和泪的教训。 这两天 V2EX 小粉红洗地。你自己看清楚。 |
|
36
shoreywong OP @goofool #32 管网络的单位请了安全专家来查日志 发现是从我的服务器数据库入侵的 而且第一时间拷走了我的服务器所有文件 桌面上甚至有我的 frpc 配置文件 我觉得瞒不住 一开始我觉得最多就是 ddos 攻击 就说了 没想到通过数据库之间控制了服务器
|
|
37
goofool 2020-07-21 21:15:15 +08:00 via Android
@shoreywong 你们这些服务器都是测试服务器,不是生产服务器吧
|
|
38
shoreywong OP @goofool #37 我们是能源企业 这些都是信息化系统 比如传合同 上报日报周报啥的
|
 |
39
dorothyREN 2020-07-21 22:16:23 +08:00
还不如直接在服务器上 rm -rf /*呢,就说是误操作了。
|
 |
40
eviladan0s 2020-07-21 22:16:59 +08:00
@d5 攻防演练不会搞勒索病毒的
|
 |
41
xcodeghost 2020-07-21 22:18:04 +08:00
这个事情既然发生了,那么一定单位领导肯定要找一位替罪羊的,你说不找你找谁。
|
 |
42
x86 2020-07-21 22:19:16 +08:00 via iPhone
从来不拿公司电脑做其他事…
|
|
43
eviladan0s 2020-07-21 22:20:38 +08:00 2
给后面看到的小伙伴提个醒:
1.内网机器需要外网访问的,不要自己搞内网穿透,实在不行让领导买设备 2.弱口令,弱口令,弱口令,永恒不变的话题 |
 |
44
ouqihang 2020-07-21 22:31:12 +08:00
看能不能抓到人,现在支付渠道都有追踪,真正的勒索者才负主要责任。
不是说疫情期间有人弄勒索病毒,被警告,后果 xxx,后来自己解了。 |
 |
45
oneisall8955 2020-07-21 22:52:42 +08:00 via Android
慌了,赶紧把穿透关掉
|
 |
47
sujin190 2020-07-21 22:57:13 +08:00
公司服务器好歹弄个 vpn 啊,frp 这种不靠谱的也敢在公司服务器上玩。。
非主观恶意且明确知道有风险的造成损失的,比如 bug 这种,谁知道哪会有 bug 啊,而且 bug 这属于开发流程不严谨公司管理流程有问题,这种确实不承担责任,但是吧你这个属于预知有安全风险还主动安装这软件且未和领导沟通导致被入侵,虽然非恶意,估计连带责任是很难逃掉了,如果有备份或是非交易算法知识产权啥的不会造成重大损失的那就太庆幸了 公司电脑啥的说真的还是别乱装工作无关的,更别说服务器了,指不定哪天就要背锅 |
 |
48
20150517 2020-07-21 23:01:04 +08:00 3
我觉得趁现在没被关押,赶紧逃出境吧
|
 |
49
expy 2020-07-21 23:01:51 +08:00
frp 没有 vpn 那样的访问控制吗,怎么就直接搞到数据库了?
|
 |
50
getadoggie 2020-07-21 23:44:26 +08:00
攻击者要达到他的目的,是需要一系列的“门”的,这些门每一个都很重要,都是缺一不可,你只是误开放了其中一个门。要追究的话,你要负私自修改系统以让系统潜在的缺陷增加这一个责任。由于造成了较严重的后果,对于后果你也要负一定的责任。其它的门也是由公司对应的人把守的,他们在这一过程中绝对要负对应的责任,只不过看起来不像你这么明显而已。比如放任若密码这一道门。如果查到具体的攻击流程,你要算算这里一共开了多少门,分别应该由哪些人承担(你不去检查这些其它人只会甩锅给你),然后由门的大小计算责任。最后我想你还是要赔钱的,这个应该跑不掉,只不过数额需要你努力把它客观化,别让某些过于自私的人把责任都推到你身上。
|
 |
51
CEBBCAT 2020-07-21 23:53:30 +08:00 via Android
FRP 就只是端口转发,不知道现在是不是默认开启通讯加密,反正我之前是开了的,也开了压缩。
这等于把内网服务的端口对外开放到一个固定的端口上了,别人只要嗅探出端口对侧服务,就可以暴力破解了。 楼主说得还是不够清楚,比如说是把数据库还是 sshd 的端口给映射出去了? 各方都有责任 |
|
52
shoreywong OP @CEBBCAT #51 我把数据库 rdp 和 8080 映射出去了 是从数据库进来的 我也很奇怪它为啥能知道比如说我把 3306 映射到 9999 他怎么知道是数据库端口的 应该没加密 上面有人说的那个 stcp 好像才是加密的 哎 不知道 刚弄好没一周
|
 |
53
0x6c696e71696e67 2020-07-22 00:11:00 +08:00
@blindie 1,分公司就他一个技术员,被黑了当然第一时间找他。2,他不用告诉任何人,总公司派人来一查就知道了
|
 |
55
im3x 2020-07-22 00:13:10 +08:00 2
@shoreywong #52
可以通过端口的流量指纹识别,简单说就比如,你用 nc remote-addr 9999 的时候,会返回带有 mysql 字符串的流量特征,扫描程序就可以自动识别为数据库了 |
 |
57
Felldeadbird 2020-07-22 00:13:50 +08:00 via iPhone
我认为需要先确定一个事情,内网穿透这个事情 公司知道不?
如果不知道私下开启,你就需要担责。 |
|
58
Felldeadbird 2020-07-22 00:15:58 +08:00 via iPhone
没有任何安全培训过
楼主最好找个律师朋友咨询一下。不要乱说话,免得无辜担责。 |
 |
59
xupefei 2020-07-22 00:20:24 +08:00 via iPhone
@XiaoxiaoPu 楼主本质是开门放狗,门开了,狗进不进来是另一回事。重大过失这个锅是怎么也甩不掉的。
|
|
60
redtea 2020-07-22 00:20:36 +08:00 via iPhone 2
刑法第一百六十八条 国有公司、企业、事业单位人员失职罪
国有公司、企业的工作人员,由于严重不负责任或者滥用职权,造成国有公司、企业破产或者严重损失,致使国家利益遭受重大损失的,处三年以下有期徒刑或者拘役;致使国家利益遭受特别重大损失的,处三年以上七年以下有期徒刑。 |
 |
61
testver 2020-07-22 00:20:40 +08:00 3
|
 |
62
arischow 2020-07-22 00:31:03 +08:00 via iPhone
方便维护可以 SSH 密钥 + 堡垒机,这么大的事情咨询律师吧
|
|
63
arischow 2020-07-22 00:33:15 +08:00 via iPhone
公司也野鸡,居然让你这么搞。。。
|
 |
64
plko345 2020-07-22 00:36:44 +08:00 via Android
我好奇的是 frp 怎么配置的,有什么漏洞吗?
|
 |
65
watzds 2020-07-22 00:52:13 +08:00 via Android 2
这么个粗糙公司就一个人维护所有,能是什么重要东西
我觉得不严重,就是发展初期踩坑 |
|
66
watzds 2020-07-22 00:54:26 +08:00 via Android
@shoreywong 端口扫描的估计
|
 |
67
Verx0 2020-07-22 00:54:50 +08:00 via Android
樓主今晚應該是睡不好覺了......
|
 |
68
gangsta 2020-07-22 01:02:47 +08:00
关注一下 希望没事 楼主如果方便的话, 更新一下后续, 其他人引以为戒
|
 |
69
namaketa 2020-07-22 01:03:35 +08:00 6
我在学校也干过类似的事。
rdp 直接 frp 到公网,结果被永痕之蓝彻底干翻,心都碎了。 结果那段时间整个内网病毒泛滥,一片狼藉。 根本没人追究是谁干的,也可能是信息处的老师帮我包庇了。 从那以后我就认识到不要随便放公网端口,到处都是扫描器,不出两天骨灰都给扬了。 |
 |
70
nuk 2020-07-22 01:14:19 +08:00
老哥居然敢直接暴露内网服务,现在不出问题迟早要出问题的。
且不说弱密码,你能保证这些服务没有 0day 漏洞? 这个学费有点贵啊! ssh 反向连接+ssh 端口转发才是正道啊,关键是犯事也很难确定到你身上,文件审计没毛病,流量审计 ssh 也没毛病,打死不承认就行了。 |
 |
71
moln 2020-07-22 01:14:38 +08:00
我就是想问问,比如火箭发射失败了,连卫星一起摔掉了,那么大的损失,是不是每次都得抓一批科研、技术人员坐牢?
|
 |
72
li492135501 2020-07-22 01:22:05 +08:00
建议跑路
|
 |
73
JamesR 2020-07-22 01:22:15 +08:00
算天灾意外吧,服务器没有打补丁,没有安装杀软也是问题,不完全楼主责任。
|
 |
74
iamwho 2020-07-22 02:06:52 +08:00
能源企业是要做等保的吧,这怎么过的?
|
 |
75
ryd994 2020-07-22 02:10:51 +08:00 via Android 4
1.单位没有安全培训
2. 服务器弱密码 3. 出口流量没有限制和没有审计 4. 服务器没有及时更新 5. 没有备份 /其他应对勒索病毒的措施 你开端口是直接原因,但安全生产事故从来都不是只有一个原因。事故不是偶然,而是各种违规叠加在一起的必然。把责任推给直接责任人是没有用的,只有吸取教训,改进规章制度,才能从根本上消除事故。 |
 |
76
yzkcy 2020-07-22 02:23:09 +08:00 1
给楼主提个建议:有错就认,挨打立正,就别想着分锅了。
这个事可大可小,轻的扣个绩效就完了,单位就当作买个教训; 重的判刑也可能,因为是你的原因(你搞 frp 可能会被认为主观故意)导致了内网被黑。(参考 https://www.infoq.cn/article/RZzfel1m6-h8pSK8TTC9 这个案例,大疆的程序员无意间把公司的项目传到了 gitHub,配置文件里有 AWS 私钥,然后被大疆告了,判半年+20 万罚款) 你现在最需要做的是卖惨拉同情跟能说得上话的领导搞好关系,找勒索病毒的解决方案把危害最小化,态度端正点,努力争取宽大处理。否则本单位或兄弟单位选择告你,有可能判刑的。 |
 |
77
noogler67 2020-07-22 02:39:07 +08:00
我觉得楼主问题不大。可以看出单位不怎么重视安全。楼主只是技术失误。和多个技术失误在一起导致了一个比较弱的弱点。警察有本事去抓黑客啊。
|
 |
78
cranelee13 2020-07-22 02:47:18 +08:00 1
@shoreywong
nmap -sV -T4 -Pn -n -open 127.0.0.1 -p 3306 |
 |
79
shutongxinq 2020-07-22 02:47:37 +08:00 via iPhone
暴露内网相当于把防火墙拆了,挺严重的,建议去外地躲一躲
|
 |
80
zbttl 2020-07-22 03:34:35 +08:00 2
@moln #71 火箭发射失败一般都会有报告的吧,要是复杂的、非人为技术失误,那总结总结也就算了;反过来要是查出来是哪个人偷了某个零件导致发射失败,可能就不是开一批人那么简单的事情。
本质上和楼主这个事情没区别。 frp 默认这种单端认证还真是非常不安全的东西,我曾经给我家里电脑开过 rdp,结果过几天一查日志,都被扫到姥姥家了。而且你放自己管理的服务,然后给服务上高强度密码就算了,你放别人维护的服务这说不过去吧。。。主锅你肯定要背,至于背多少,就要看看你人际关系上的造化了,如果你们领导说话算数和你关系好,那你就把锅揽了吧。反之,楼上有人提到把权责客观化的,你看着来吧。 当然最好是能抓到勒索的,那你基本就没啥事。 |
 |
81
hronro 2020-07-22 03:39:12 +08:00 via iPhone
为啥不用 nebula 之类的来做内网穿透呢,nebula 明显要安全的多
|
 |
82
falcon05 2020-07-22 04:11:54 +08:00 via iPhone
多半不是 frp 的问题,而是映射出去服务的问题,比如远程桌面,数据库弱密码,被暴力破解。或者 frps 所在服务器自身被攻陷,顺藤摸瓜黑入被代理端。
而且 frp 有一种模式是要连接被代理服务,访问端也要开 frp 验证的模式。代理服务器、访问端、内网被访问端都要运行 frp 。 |
 |
83
axo 2020-07-22 05:29:26 +08:00
后续处理结果,希望给大家通报一声。不要问完意见就跑了。
|
 |
84
wmxl 2020-07-22 06:41:50 +08:00
我觉得很多时候都是可大可小的,看楼主造化了。还是建议楼主和领导同事搞好关系,同时早点联系律师咨询。最后楼主处理结果出来了,可以更新一下,给后人一些警示和提醒。
|
 |
85
hellos 2020-07-22 06:58:56 +08:00 via Android
@moln 比喻都不会比喻,应该是:火箭上有个螺丝拧的好好的,发射前你把它偷偷拧下来了。现在因为这个螺丝导致发射失败了,你敢说你没有责任?!
|
 |
86
loading 2020-07-22 07:04:59 +08:00 via Android
外网可能是专业的硬件防火墙,你穿透挖了个隧道,建议交代好身后事吧。
|
 |
87
hanbing135 2020-07-22 07:32:10 +08:00 via Android 1
纯正国企的话 有可能屁事没有 比如领导不当回事 有可能得坐牢 看上面领导讨论呗
|
 |
88
darknoll 2020-07-22 07:48:39 +08:00
我稍微幸运些,同事机器密码都没猜出来,只是自己机器被勒索,而且我平时代码都习惯提交到 svn 或者 git,所以晚上偷偷重装了,没有人知道。
|
|
89
darknoll 2020-07-22 07:56:59 +08:00
@labulaka521 这事关键是弱口令的问题。
|
 |
90
opengps 2020-07-22 07:58:48 +08:00 via Android
造成损失多大?惩罚是否要执行到位的主要根据就是损失,一般指经济损失。不过这个误操作怕是要对你影响很久
|
 |
92
alfchin 2020-07-22 08:09:25 +08:00 via iPhone
@moln 这和楼主完全是两个性质。
楼主是明知或者应当知道使用不可控软件的安全风险,但仍在敏感设备上面使用,并造成严重损失。 发射火箭砸了,大概率是非主观原因导致的。如果和楼主一样成因砸了,判刑进去的好几个。 |
 |
93
jin7 2020-07-22 08:11:25 +08:00 1
关注后续 不懂安全 frp 之类的还是不要用了
|
 |
94
bwangel 2020-07-22 08:11:44 +08:00 via Android
收藏了,蹲个后续。
|
 |
95
jagger2048 2020-07-22 08:15:22 +08:00
所以还是直接用 zerotier one 好些,至少还有个后台来管理接入的设备
|
 |
96
ak47007 2020-07-22 08:19:17 +08:00
是自己搭的 frp 还是用的别人的
|
 |
97
xmlf 2020-07-22 08:20:51 +08:00 via Android
1.frp 服务器服务端口仅对特定 ip 开放,家宽用 ddns 自动更新。
2.使用 stcp 模式开放端口。 做好以上两点,怎么还会有问题呢? |
 |
98
clf 2020-07-22 08:24:11 +08:00
劳动合同应该会有相关的赔偿条款?开除是肯定的了,赔偿肯定会有,要不要负刑事责任就看你们公司的意思了。
在国企里办事,所有可能影响到别人的操作,都打报告让上面批准了再干。 我也是国企,入职第一个月在公司服务器上搭建 gitlab,把代码从 SVN 转移到 git 管理,也是 leader 觉得有用+部长批准才搭建的。 |
 |
99
isnullstring 2020-07-22 08:25:57 +08:00
多手,还不用 STCP
|
 |
100
beingbin 2020-07-22 08:26:37 +08:00 1
我要是记得没错,国家电网内网机插了手机、无线网卡好像要被罚一万吧?之前有次电脑密码改弱密码了,被内网警告,罚了 2000
|
Select Language