- 论坛徽章:
- 54
|
1、如果是内鬼,内部攻破,携程网可能存在哪些漏洞,包含操作认证,授权、鉴权等内容?
如果是内鬼,那么就存在软件和管理方面的漏洞。携程应该有很多服务器,一下子就能全部都清空,属于比较奇葩,严重怀疑系统的安全性,连最起码的防范都没有。
网上有个版本说是用了自动化的部署工具,有意或无意地全部都清空了D盘,我觉得可信度还是比较高的,部署工具设计会有严重的缺陷,不仅是一个同步工具,而且被动接收命令,并且还不能对命令进行鉴别。如果这个情况属实,那就说明前期没有做好测试,也没有进行相应的审核,甚至没有安全的意识。
还有一个大问题:就是为什么要开放整个D盘的操作权限?再深一层,为什么要放开整个系统的权限?
实际上,这也是windows的一大安全问题,远程桌面或者其他的工具,都不能把用户锁在一个文件夹下,也就是没有linux下的chroot功能。熟悉Linux/Unix的都知道,在服务器上,文件夹隔离是一个比较基础的策略,特定的用户只能访问特定的资源,而在windows上面,做这些还是有些难度。虽然windows可以实现分级控制,但是实施起来,还真不是一般的麻烦,很多管理员都是administrator一路到底。
如果是另一种情况,这些措施携程都想到了,也都实施了,这次故障是某位权限较高的员工所为,有整个系统的管理权限,但是问题又来了:备份哪儿去了?数据库跟程序不分离?程序如果有版本控制,恢复应该是非常快的;至于数据库,如果不能做到本地和异地的容灾,还真不好意思叫数据库。如果这位员工连备份机器都有权限,那么整个系统就真是如履薄冰了。
话又说回来,如果我有这么高的权限,并且想发泄一下,那么干脆先用零填充数据分区,再删除program files,然后重写前几十个扇区,再删除windows到死机,再顺便把远程系统搞一下,不跑机房你连想都不用想……
整个事件中,其实我最关心的两件事:为什么要使用windows?程序和数据到底有没有分离?
2、如果是外部攻占,是防火墙或者入侵检测发现问题?
根据检测,携程用的是windows服务器,所以对外部攻占也毫不意外,我本人更倾向于这个结论,并且后续导流站也报出流量异常,说明应该存在一定的攻击行为。
防火墙和入侵检测在某些程度上只是“事后诸葛亮”,对于未知的漏洞、0day漏洞以及偏门的漏洞防范能力都不强,不能过度依赖它们。
现在我遇到windows服务器,最头疼的是一些管理员滥用teamview,这家伙虽然方便穿内网,但是比较邪恶,安全方面还不一定能超过远程桌面。
——BTW:不是windows不安全,而是大多数windows管理员,特别是国内的windows管理员,普遍没有安全意识,在服务器上连QQ、360都敢用,还讲什么安全?
3、如果是硬件问题,是没有容灾?还是容灾做的不靠谱?
硬件有问题的可能性不大。首先是故障发生的时候,携程前端的均衡设备还是正常运转的,因为404仍然能正确显示,说明前端服务器还活着,是后端应用服务器挂掉了。而后端服务器,肯定不会是一台两台,像携程这种规模,再加上用的是windows,我个人感觉应该至少几十台应用服务器,挂掉几个还真不影响大局。
像支付宝的网络出故障倒也有可能,支付宝这么强悍都能挂,携程挂掉也是正常的了,但是从目前暴出来的信息看,应该不是网络的原因。
数据库服务器当机,倒有这种可能,但容灾应该是比较基础的工作,这么大系统,没有容灾简直不可思议,没有容灾就是奇葩。
但是数据库服务器当机也不至于弄出404,所以还是上面的观点:应用程序和数据库到底是不是分离的? |
评分
-
查看全部评分
|