前言
昨天晚上有朋友將公網上的一臺 redis 密碼設定為 123456,並且覺得沒什麼影響,再結合我之前畢業設計時被刪庫勒索,以及工作中碰到的網路安全相關的事情,就有了本篇感想,網路安全離我們並不遠!
畢設 MongoDB 被刪庫
哪是答辯前的一天,我發現系統無法登入了,檢視日誌,報 error not found,連線資料庫一看,好傢伙,新聞報導中的勒索事件就發生在了我身上。
說實話,當時看到這個還有點小激動,甚至發了一條朋友圈(第一次碰到這種事,且由於資料不是很珍貴,跑一遍程式碼就重新生成了)
後臺檢視 mongo 的日誌,發現不存在暴力破解密碼的現象,黑客直接登入,然後一上來就是 drop(換句話說,即使我給了他 BTC,我的資料也不可能恢復)
我思來想去,終於想起來,我把配置檔案提交到 Github 上了,裡面的密碼恰好是我 mongo 的密碼,且有段時間倉庫還是 public 的,不過奇怪的是,配置檔案中用的是 mongodb://127.0.0.1:27017 , 並不是我伺服器的 IP,至於黑客是如何搞到伺服器 IP 的,就不得而知了。
這兒要強調的是,敏感資料不可提交到 Github 等公共倉庫,聽搞安全的同事說,這世上不知道有多少臺掃描器在 24h 監控著 Github 上的敏感資料。
攝像頭直播
哪天是測試部的同事在測試弱口令漏洞,結果就發現了一臺公網上的攝像頭,使用者名稱 root ,密碼 admin123,然後我就登入了上去,看他們在廚房直播做飯。(是一家餐館的攝像頭)
還好是廚房,這要是家裡的攝像頭,隱私全沒了。。。
Harbor 任意管理員註冊漏洞
由於業務需求,3月份的時候,我給我們部門部署了一個公網 harbor,當時開發任務又多又急,部署完測試能用後,就一直沒有去管過它。(使用者註冊功能也沒關!!!)
直到前幾天排查 harbor redis 記憶體佔用過高問題時,瞄了一眼使用者管理,發現問題不簡單,好幾個奇怪的使用者,部門群裡問了大家,都說不知道。
後來一查,是 harbor 有漏洞,並且這個漏洞利用特別簡單,就是在註冊 payload 中新增 "has_admin_role":true 即可。Harbor任意管理員註冊漏洞復現||CVE-2019-1609
小結
本篇文章結合三件發生在我身上的網路安全事件,旨在提醒大家,網路安全離我們不遠,希望大家能學習一些基本的安全常識,保護自身財產不受損失。