前言
昨天晚上有朋友將公網上的一台 redis 密碼設置為 123456,並且覺得沒什么影響,再結合我之前畢業設計時被刪庫勒索,以及工作中碰到的網絡安全相關的事情,就有了本篇感想,網絡安全離我們並不遠!
畢設 MongoDB 被刪庫
哪是答辯前的一天,我發現系統無法登錄了,查看日志,報 error not found,連接數據庫一看,好家伙,新聞報道中的勒索事件就發生在了我身上。
說實話,當時看到這個還有點小激動,甚至發了一條朋友圈(第一次碰到這種事,且由於數據不是很珍貴,跑一遍代碼就重新生成了)
后台查看 mongo 的日志,發現不存在暴力破解密碼的現象,黑客直接登錄,然后一上來就是 drop(換句話說,即使我給了他 BTC,我的數據也不可能恢復)
我思來想去,終於想起來,我把配置文件提交到 Github 上了,里面的密碼恰好是我 mongo 的密碼,且有段時間倉庫還是 public 的,不過奇怪的是,配置文件中用的是 mongodb://127.0.0.1:27017 , 並不是我服務器的 IP,至於黑客是如何搞到服務器 IP 的,就不得而知了。
這兒要強調的是,敏感數據不可提交到 Github 等公共倉庫,聽搞安全的同事說,這世上不知道有多少台掃描器在 24h 監控着 Github 上的敏感數據。
攝像頭直播
哪天是測試部的同事在測試弱口令漏洞,結果就發現了一台公網上的攝像頭,用戶名 root ,密碼 admin123,然后我就登錄了上去,看他們在廚房直播做飯。(是一家餐館的攝像頭)
還好是廚房,這要是家里的攝像頭,隱私全沒了。。。
Harbor 任意管理員注冊漏洞
由於業務需求,3月份的時候,我給我們部門部署了一個公網 harbor,當時開發任務又多又急,部署完測試能用后,就一直沒有去管過它。(用戶注冊功能也沒關!!!)
直到前幾天排查 harbor redis 內存占用過高問題時,瞄了一眼用戶管理,發現問題不簡單,好幾個奇怪的用戶,部門群里問了大家,都說不知道。
后來一查,是 harbor 有漏洞,並且這個漏洞利用特別簡單,就是在注冊 payload 中添加 "has_admin_role":true 即可。Harbor任意管理員注冊漏洞復現||CVE-2019-1609
小結
本篇文章結合三件發生在我身上的網絡安全事件,旨在提醒大家,網絡安全離我們不遠,希望大家能學習一些基本的安全常識,保護自身財產不受損失。