V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nemo95
V2EX  ›  信息安全

因为路由器刷了 padavan,智障公司通报我挖矿

  •  
  •   nemo95 · 2022-07-25 15:19:31 +08:00 · 13300 次点击
    这是一个创建于 852 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天虎王行动第一天,网安通报了一批涉嫌挖矿的 ip ,都是通过探针发现有访问 https://bitbucket.org/的行为

    然后我解释这应该是我路由器在检查更新,但他们还是让我把路由关了等过两周再用,说这名单是集团公司给的他们也不懂不好解释……

    是不是现在带 bit 的域名都不能打开了

    第 1 条附言  ·  2022-07-27 11:02:11 +08:00
    补充一下,路由 WAN 口没有直连办公网而是我 PC 共享的网络,因为公司要求 MAC 绑定加奇安信安全终端认证才能上网。但奇安信 Linux 环境没法用,我是为了测试 k8s 集群弄了点虚机和 arm 终端搭了个小局域网,挂 PC 后面上网只是拉镜像用,没有对外映射端口。较真的话我只能把路由和 Linux 都放虚机里面跑了
    70 条回复    2022-07-30 04:56:15 +08:00
    Mikewangyankkk
        1
    Mikewangyankkk  
       2022-07-25 15:23:23 +08:00   ❤️ 1
    bitbucket 哈哈哈哈哈哈,bitwallet 通报你还差不多
    eason1874
        2
    eason1874  
       2022-07-25 15:25:01 +08:00   ❤️ 7
    护网第一步,拉闸断网,能断尽断

    “只要我不上网我就不会被黑”
    SunsetShimmer
        3
    SunsetShimmer  
       2022-07-25 15:27:52 +08:00 via Android
    还有 bitwarden
    chendy
        4
    chendy  
       2022-07-25 15:33:47 +08:00   ❤️ 6
    自动检查更新关了呗,多大个事
    但是吧,重视网络安全的公司基本不会允许员工自己带路由器的……
    jadehare
        5
    jadehare  
       2022-07-25 15:33:50 +08:00   ❤️ 1
    sourcetree 瑟瑟发抖
    storyxc
        6
    storyxc  
       2022-07-25 16:04:43 +08:00
    抱歉,我憋不住笑了😁
    xiaosheng
        7
    xiaosheng  
       2022-07-25 16:05:42 +08:00
    不懂就问,啥是“虎王行动”
    DawnQ
        8
    DawnQ  
       2022-07-25 16:07:29 +08:00
    @xiaosheng 护网
    aaronlam
        9
    aaronlam  
       2022-07-25 16:07:52 +08:00   ❤️ 11
    中国的虎王行动就是个笑话
    Jooooooooo
        10
    Jooooooooo  
       2022-07-25 16:08:39 +08:00
    护网就是扫 ip, 感觉有问题就断掉.
    ghjexxka
        11
    ghjexxka  
       2022-07-25 16:38:32 +08:00   ❤️ 4
    非嘲讽 OP ,但这个护网行动的骚操作和这帖发在信息安全这个分类滑稽程度有点相互呼应了😂
    IvanLi127
        12
    IvanLi127  
       2022-07-25 16:46:38 +08:00
    这是 bitbucket 被黑得最惨的一次
    azhi2007
        13
    azhi2007  
       2022-07-25 16:55:14 +08:00
    @chendy 是的,我觉得在公司用自己的路由器不是很明智的选择
    PopRain
        14
    PopRain  
       2022-07-25 16:55:59 +08:00
    有个对外服务的网站,要虎王,到下班就关闭端口,上班再打开。。。。。
    looppppp
        15
    looppppp  
       2022-07-25 17:22:13 +08:00
    断网行动
    iovekkk
        16
    iovekkk  
       2022-07-25 17:36:54 +08:00
    先不说访问什么域名了
    你们公司还允许私接路由器啊?
    在我们这,直接就开除了
    realpg
        17
    realpg  
       2022-07-25 17:56:03 +08:00   ❤️ 21
    曾经作为某省级重点业务供应商
    被官方通报网站有严重安全漏洞 180 日拒绝整改
    漏洞内容:
    80 端口包含 nginx 字样
    keepeye
        18
    keepeye  
       2022-07-25 18:06:35 +08:00
    忍一忍到 20 大过去,希望有所变化
    aptupdate
        19
    aptupdate  
       2022-07-25 18:41:30 +08:00 via iPhone   ❤️ 6
    @keepeye 然后墙更高了?
    mxT52CRuqR6o5
        20
    mxT52CRuqR6o5  
       2022-07-25 18:47:30 +08:00 via Android
    @iovekkk 说明你们公司政治理解不行,官方通报的 nginx 字样问题马上修改,官方没提到的问题看都别看,这工作不就轻松多了嘛
    5460
        21
    5460  
       2022-07-25 19:08:09 +08:00
    这护网行动是全国统一的么?我们今天也是第一天
    LGA1150
        22
    LGA1150  
       2022-07-25 19:09:38 +08:00 via Android
    bitdefender 躺枪
    Silently
        23
    Silently  
       2022-07-25 19:14:09 +08:00 via iPhone
    bitwarden 气抖冷
    franklinray
        24
    franklinray  
       2022-07-25 19:28:32 +08:00   ❤️ 2
    公司接入未经过认证的私人设备?怎么不是直接开除?你还有机会和安全解释?
    JavaFirstMaster
        25
    JavaFirstMaster  
       2022-07-25 19:35:07 +08:00
    为了虎王行动加了好几次班了, 各种组件升级 /依赖升级
    WOLFRAZOR
        26
    WOLFRAZOR  
       2022-07-25 19:36:12 +08:00 via Android
    @5460 是全国统一的。公安部和工信部联合行动。
    @franklinray 我这里也是。
    @realpg 笑不活了
    nemo95
        27
    nemo95  
    OP
       2022-07-25 19:43:30 +08:00
    @iovekkk @franklinray

    因为公司没有买 Linux 版奇安信终端,也没给我提供 kube 测试环境,

    我在 windows 终端共享了网络连接给自己的测试环境这事部门安全员也知道,OA 侧扫描没发现问题
    realpg
        28
    realpg  
       2022-07-25 20:05:28 +08:00   ❤️ 14
    @WOLFRAZOR #26
    这里解释一下为什么

    上级通报 nginx 当时的最新大版本有个漏洞 是 nginx 1.14 还是 1.16 忘了
    当时漏洞出来当日就修复了
    然后我们也跟着修复了

    之后漏扫就天天报告 nginx1.14 版本有漏洞(已经是最新修正过的了)
    漏扫关键词 就是返回的 nginx 版本号 弱智


    然后我们就忽略了这个报告
    然后过一阵子, 他不报告了, 是最新版本更新升级了, 还是他内置的规则判断不依赖版本号了, 我是不知道, 漏扫这种东西都是骗钱的, 基本功能只有扫描 URL

    然后不知道又过了多久,又开始报 nginx 这个漏洞, 没办法只能忽略
    然后就被省级通报了 180 日不整改...

    通报了就通报了吧, 赶紧整改, 怎么都改不好

    然后就找漏扫厂家

    最后跟漏扫厂家联合调试了俩礼拜(就这效率你敢信)

    发现是漏扫库里有个(nginx 1.1x)的关键字符串

    然后他们的码农升级系统变成了自动断开匹配, nginx 和 1.1x 变成了俩关键词

    然后,漏扫厂家高高兴兴的跟甲方要了 1 万 8 升级费用

    然后我公司被罚了三万
    gengchun
        29
    gengchun  
       2022-07-25 20:15:27 +08:00
    @realpg 本来就是改写一下 Server Name 字段就好了。你们还真天天升级啊。
    u823tg
        30
    u823tg  
       2022-07-25 20:19:47 +08:00
    @realpg #28 真无话可说。
    CatCode
        31
    CatCode  
       2022-07-25 20:24:55 +08:00
    @gengchun 借楼问一句:我司用的 nginx 1.18.0 ,但是 server_tokens 这个项只能设置为 on 或者 off ,没法自定义字符串啊。你们改字段是怎么做到的
    gengchun
        32
    gengchun  
       2022-07-25 20:39:52 +08:00
    @CatCode 当然是自行打补丁编译发版呗,这个不是玩 Linux 的基本操作吗?
    realpg
        33
    realpg  
       2022-07-25 20:42:20 +08:00
    @gengchun #29
    肯定要天天升级的
    要不真出安全问题谁也兜不住
    想起来了,我们就是关了 tokens 变成了只有 nginx
    Hurriance
        34
    Hurriance  
       2022-07-25 20:44:43 +08:00   ❤️ 3
    让我想起了之前的 “大连铁路因 Flash 停更造成电脑显示故障,彻夜攻关 20 多小时用 Ghost 版系统解决”
    eason1874
        35
    eason1874  
       2022-07-25 20:59:41 +08:00
    @CatCode #31 编译上 ngx_lua 或者 njs 模块就可以修改 header ,或者前端服务器直接用 openresty
    cpstar
        36
    cpstar  
       2022-07-25 21:01:10 +08:00
    gengchun
        37
    gengchun  
       2022-07-25 21:04:10 +08:00
    @realpg 糊弄扫描器应该算第一站,成本最低,扫不到我自然不会被入侵,也不需要整改。

    天天升级那是大手笔。我们小厂是不可能做到的。
    lkk
        38
    lkk  
       2022-07-25 21:09:19 +08:00
    早跟你说了,bit 打头的都不是什么好东西,比如 bitch
    Quarter
        39
    Quarter  
       2022-07-25 22:01:55 +08:00 via Android
    同样要被护网行动逼疯了,感觉愚蠢至极,不用就不会被攻击,好思路啊
    AyaseEri
        40
    AyaseEri  
       2022-07-25 22:07:57 +08:00
    笑死,我们护网已经连百度都断了,nvm 下载 node 的环境都没了
    AllenHua
        41
    AllenHua  
       2022-07-25 23:16:42 +08:00   ❤️ 2
    ohhhhhhhh ,原来如此,找到了 bitwarden 改名 vaultwarden 的原因了 🐶️
    BeautifulSoap
        42
    BeautifulSoap  
       2022-07-25 23:22:33 +08:00   ❤️ 6
    笑死我了,真的是智障啊。字节跳动估计感到很庆幸,自己当初取名是 byte dance 而不是 bit dance ,要不然整个公司被当成比特币交易公司处理了就好笑了
    sayonara7
        43
    sayonara7  
       2022-07-26 00:20:12 +08:00
    我司已参与 HW 小一月了,貌似每年参与的企业在变化。另楼主竟然还能私接路由器吗,用途是什么?
    ricky077
        44
    ricky077  
       2022-07-26 01:29:26 +08:00 via iPhone
    我司已把外网断了,纯局域网去开发
    pengtdyd
        45
    pengtdyd  
       2022-07-26 03:43:02 +08:00
    干脆网线拔了,局域网都不用,纯单机开发。
    singerll
        46
    singerll  
       2022-07-26 05:52:12 +08:00 via Android
    hw 行动期间你们还能用公司的网,我们除了必要的生产系统,剩余全断,包括办公网。
    nemo95
        47
    nemo95  
    OP
       2022-07-26 06:40:44 +08:00 via Android
    @sayonara7 k8s 测试环境,用我的个人 PC 共享的网络连接,部门安全员也知道。
    这和开个虚机没区别吧?为啥会规定不许挂路由?挂交换机呢?集线器呢?
    0xsui
        48
    0xsui  
       2022-07-26 07:38:41 +08:00 via Android
    @Mikewangyankkk 护网行动,最近这是在搞什么,各种公司得断网的😂
    jiom
        49
    jiom  
       2022-07-26 09:06:47 +08:00
    @0xsui 确保 20d 的顺利开展~
    greatHair
        50
    greatHair  
       2022-07-26 09:56:11 +08:00
    同护网,公司直接网络整个白名单,啥也干不了,已经用了十几 G 了
    franklinray
        51
    franklinray  
       2022-07-26 10:16:12 +08:00
    @nemo95 正常来说应该走采购流程,提需求去采购。接自己的路由器真出了问题,安全部门和你谁都跑不了。我一直都秉持家里的东西和公司的东西分开。省得有人害我的时候有把柄。
    msn1983aa
        52
    msn1983aa  
       2022-07-26 10:28:23 +08:00
    我说怎么公司搞了个白名单制度,好多网站都被屏蔽了,原来是这样
    xinJang
        53
    xinJang  
       2022-07-26 10:57:32 +08:00
    此时关闭服务器的路过(还好是内网机器)
    sobigfish
        54
    sobigfish  
       2022-07-26 11:14:51 +08:00
    @realpg .h 里 nginx 都替换成别的名字“富强民主”什么的
    yvescheung
        55
    yvescheung  
       2022-07-26 12:04:45 +08:00   ❤️ 9
    每年护网,也没能避免十亿数据泄漏
    linuslv
        56
    linuslv  
       2022-07-26 12:07:31 +08:00
    公司允许用路由私搭网络。。。公司水平可想而知,可以理解。
    nemo95
        57
    nemo95  
    OP
       2022-07-26 12:12:36 +08:00 via Android
    @linuslv 那开虚拟机可以吗?主机可以 nat 虚拟机上网吗?虚拟机可以跑软路由吗?可以跑 docker 吗?
    chrisia
        58
    chrisia  
       2022-07-26 12:38:43 +08:00
    因为马上 20d 了,今年开会最敏感,要谋求连任了
    aaronlam
        59
    aaronlam  
       2022-07-26 15:20:12 +08:00
    @chrisia 不是已经是皇帝了吗
    chrisia
        60
    chrisia  
       2022-07-26 16:23:40 +08:00   ❤️ 1
    @aaronlam 总要走个过场 :)
    yedanten
        61
    yedanten  
       2022-07-26 17:17:30 +08:00 via Android
    乐,建议去喷网安及对接的安全厂商,把这网址拉黑的罪魁祸首是某大数字,发现 h2miner 病毒有访问过这个 url ,某数字厂直接就把 gai 域名拉黑了
    yedanten
        62
    yedanten  
       2022-07-26 17:19:29 +08:00 via Android
    业界主( du )流做法就是直接共享更新威胁数据。
    xiaoranj
        63
    xiaoranj  
       2022-07-26 17:36:55 +08:00
    @CatCode 自己编译,1.18 还给用啊
    gesse
        64
    gesse  
       2022-07-26 18:04:42 +08:00
    你是不是刷的包被人动过手脚? 现在这种可是很多的呀
    littlewing
        65
    littlewing  
       2022-07-26 20:02:01 +08:00
    用 DOH 啊,别用公司的 DNS
    wangweiggsn
        66
    wangweiggsn  
       2022-07-27 07:47:00 +08:00
    @chrisia 越是婊子越看重那个牌坊
    loolac
        67
    loolac  
       2022-07-27 08:32:10 +08:00
    哈哈 连坐
    linuslv
        68
    linuslv  
       2022-07-27 10:28:19 +08:00
    @nemo95 准入设备读的是 MAC 地址。不知道是否回答了您的问题。成熟的厂商会使用准入设备白名单机制来访问内网,并定期扫描未知网络。使用者和安全人员的视角是不一样的,而网安更是搞笑,曾因我司垃圾邮件防火墙解析过垃圾邮件而通报,并告知我们不许使用这种设备。
    nemo95
        69
    nemo95  
    OP
       2022-07-27 10:47:03 +08:00
    @linuslv 我的 PC 在白名单,PC 共享了网络给路由器,路由器带了个 k8s 集群,没有端口暴露在外,这样不算违规吧?

    较真的话我把路由换成虚机软路由?还有我的 Linux 开发环境必须用 PC 共享的网络因为公司奇安信防护终端只有 windows 版可用
    Kazetachinu
        70
    Kazetachinu  
       2022-07-30 04:56:15 +08:00 via iPhone
    你是什么牛马,我们互望行动,断外网。就平时私拉路由器搭设热点都是违规,三天两头检查封禁端口。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2432 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 02:09 · PVG 10:09 · LAX 18:09 · JFK 21:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.