@
imn1 @
sinxccc 瞎J8管如何破
有个医院客户,内部有超过一千台各种服务器,但是只有五个公网IP,这个医院还有多个分部
主web服务器(主IP:80)这个机器归我管,地理位置在某二线城市,我在北京远程工作,主要是我管一个分包下这个医院不少工作的公司的远程基础运维。
然后某天,接到该市网警通知,网警去机房拔了主webserver的网线,说是“公安部”某系统检测到我们网站上有病毒“潜伏”,即将在某日定时爆发,把我吓坏了。
拔了网线不要紧,我管理的服务器上面都有移动网络网卡,两个用处,紧急时候断网远程访问进去,以及平时发送短信通知我服务器异常、summary
偷偷连进去,一个纯webserver,上面跑一个安全化的CodeIgniter3(仅入口index.php映射到fcgi,svn部署所有参与执行的框架内文件全部root所有权限444,所有参与执行的文件都有一个后台bash脚本每30分钟md5、sha1比对一次是否被外部修改),检测无异常
然后就开始日了狗了的与某市网警沟通 (医院领导表示只听网警的)
跟某市网警各种联系人沟通,他们都无法说明白到底是哪个网页有哪种病毒,他们只知道一个词叫做“定时爆发”并不断强调,具体问定时是啥时候就转移话题,然后我又学习到了他们不是7*24保护我们网络安全的,我开放了全部权限给他们(root密码),他们说不够。然后过了两天又说要去现场取证,然后周五说要去,那边上午10点安排好了小工等着,后来下午三点打电话表示等会儿就下班了,下周一再过去吧……然后期间我反复强调我的webserver没有问题,是不是别的系统别的IP上的有问题,这个话题我跟五六个人说过,然后不知道有一个姓X的是不是领导,我说完这话题他如获至宝,第二天告诉医院把所有IP的的所有服务器全拔了。好在我们医院自己的IT的level跟某市网警领导一样高得一塌糊涂,很正确的领会了就是把80映射到哪个机器就拔那个好了。又拔了4个服务器……
然后某个周三,网警带着人说是去拷服务器文件,问过了我们采用的技术是php+mysql,于是拷走了mysql的data文件以及……………………………………………………index.php和static目录
PS 我的webserver上几种常用框架都是集中部署一套的(节省opcode cache),比如CI的框架文件实际部署在/var/framework/CI3.0.0,框架程序跟webroot也是独立的此项目的程序放在/var/framework/CI3_hospital_app/,而webroot则在/var/www/hospital_web/ 里面就一个index.php入口和static静态资源,连upload都不在这里在san存储分区
拷走了后又经过漫长的一周,期间沟通无数,后来我看这难搞,果断用多年跟司法系统打交道的经验找到了一个公安部的朋友询问,在自称公安部领导的哥们亲切过问下,某市网警终于在短短的一周分析完了我们网站的index.php和八个表大约两千行数据文件,并告诉我们处理意见如下:
把首页导航栏的医院XXX系统的链接 http://172.16.3.1/gbhLogin.do去掉!
没错 这是个172.16的IP 虽然在公网网页上 本身就不是给公网用的
后记,因为移动网卡流量还是很贵的,只有紧急时候我采用远程访问功能确认没问题,后续就没连过,当恢复了网络的时候,我连进去remote ssh,ubuntu server提示我必须立刻重启机器,然后重启后boot就坏了进不去系统。鬼知道他们是怎么拷的我的数据……
因为复制到他们带的移动硬盘这部是一个公司小工去协助的,小工给我反馈的是复制文件过程是这样的,他们不会看,小工去nginx配置文件找到webroot给他们看,然后他们cd进去复制东西到移动硬盘(index.php+static目录),然后数据库小工表示是不是mysqldump一下给你个全镜像SQL,他们说那是什么?然后最后是小工给他们看我们的本地自动备份程序(tar gz压缩本地数据库文件到压缩包) 他们说这个可以就用那个脚本现场压了一个拷走,之后的操作就让小工滚蛋了不知道他们搞了啥飞机……
1
Select Language