前言
昨天晚上有朋友将公网上的一台 redis 密码设置为 123456,并且觉得没什么影响,再结合我之前毕业设计时被删库勒索,以及工作中碰到的网络安全相关的事情,就有了本篇感想,网络安全离我们并不远!
毕设 MongoDB 被删库
哪是答辩前的一天,我发现系统无法登录了,查看日志,报 error not found,连接数据库一看,好家伙,新闻报道中的勒索事件就发生在了我身上。
说实话,当时看到这个还有点小激动,甚至发了一条朋友圈(第一次碰到这种事,且由于数据不是很珍贵,跑一遍代码就重新生成了)
后台查看 mongo 的日志,发现不存在暴力破解密码的现象,黑客直接登录,然后一上来就是 drop(换句话说,即使我给了他 BTC,我的数据也不可能恢复)
我思来想去,终于想起来,我把配置文件提交到 Github 上了,里面的密码恰好是我 mongo 的密码,且有段时间仓库还是 public 的,不过奇怪的是,配置文件中用的是 mongodb://127.0.0.1:27017 , 并不是我服务器的 IP,至于黑客是如何搞到服务器 IP 的,就不得而知了。
这儿要强调的是,敏感数据不可提交到 Github 等公共仓库,听搞安全的同事说,这世上不知道有多少台扫描器在 24h 监控着 Github 上的敏感数据。
摄像头直播
哪天是测试部的同事在测试弱口令漏洞,结果就发现了一台公网上的摄像头,用户名 root ,密码 admin123,然后我就登录了上去,看他们在厨房直播做饭。(是一家餐馆的摄像头)
还好是厨房,这要是家里的摄像头,隐私全没了。。。
Harbor 任意管理员注册漏洞
由于业务需求,3月份的时候,我给我们部门部署了一个公网 harbor,当时开发任务又多又急,部署完测试能用后,就一直没有去管过它。(用户注册功能也没关!!!)
直到前几天排查 harbor redis 内存占用过高问题时,瞄了一眼用户管理,发现问题不简单,好几个奇怪的用户,部门群里问了大家,都说不知道。
后来一查,是 harbor 有漏洞,并且这个漏洞利用特别简单,就是在注册 payload 中添加 "has_admin_role":true即可。Harbor任意管理员注册漏洞复现||CVE-2019-1609
小结
本篇文章结合三件发生在我身上的网络安全事件,旨在提醒大家,网络安全离我们不远,希望大家能学习一些基本的安全常识,保护自身财产不受损失。