今天下午,友商的同學突然發了個確認信息過來,讓我們確認一下服務器的歸屬。然后就拋出了個大新聞:我司服務器存在問題,所有文件都可以任意訪問。根據對方反映的信息,確認是之前玩票性質的一個項目:avalon出了問題。https://github.com/ejoy/avalon/blob/master/lualib/staticfile.lua#L12-L17 這里沒有做輸入檢查,就直接使用io.open了。
另外一個地方,是因為這個項目的玩票性質,所以SA同學隨便找台空的服務器丟上去了,而且還用了根用戶,於是所有文件都泄露了。。。本來這個也問題不大,avalon的代碼本來就是開源的,但是這台空閑服務器是測試服務器之一,於是上面還有幾個私鑰。。。簡直是墨菲定律的絕佳例子!友商的原話:“遍歷了ssh私鑰、hosts文件、passwd文件、shadow文件、crontab文件、iptables文件、bash_history文件等。”觸目驚心=_=|||
經過這次事件后,希望能夠對docker的推廣起到推動作用。通過虛擬化實現應用間隔離,web應用輸入檢查要做好,外網服務器不存放私鑰。還有相應的一套管控體系,包括用戶登錄行為檢測,登錄ip異常告警(非內網ip登錄)等等。。另外就是,其實沒必要自己擼代碼啊,擼也只要擼業務層就好,靜態文件交給nginx啊喂…………