NEILREN.COM 网站源码泄露 遭到下载 后院起火

由于前段时间一直忙着找工作,又刚来北京,生活节奏比较快,很少打理网站和服务器,今天在进行日志分析的时候,发现了一个非常严重的人为漏洞,造成了网站源码泄露。
因为网站版本更新的时候,我都会习惯的留一个备份版本,就是将旧网站用RAR压缩,再用新文件替换,但我没想到的是伟大的社会工程学和扫描程序,尽然猜解到了文件名, 造成源码的泄露,有人扫描到了www.neilren.com/neilren.com.rar 这个文件,这个文件是我整个网站的程序,里面还包含了数据库的链接字符串,数据库地址、数据库名、用户名、密码。
在发现被人下载了以后,我马上检查数据库,不过比较幸运的是阿里云的RDS的安全机制,我使用的是内网数据库连接地址,当然也有来自阿里云内网的下载,不过RDS还有个机制,那就是白名单机制, 想要连接数据库,那么服务器IP必须被添加进白名单才行,索性后院没有起大火,数据没有被篡改,我马上修改了数据的密码。
下面来看看我的统计信息:
neilren.com.rar 文件共被请求 55次,其中 HEAD 请求30次(200状态10次,404状态20次),GET求情25次(200状态7次,206状态17次,404状态一次)
neilren.com.rar 文件被成功下载7次,以下是成功下载该文件的人:
2016-04-05 04:51:45 163.177.69.38(广东省深圳市 联通)
2016-04-05 04:51:48 101.226.93.234(上海市上海市 电信)
2016-04-05 04:55:39 182.140.168.114(四川省成都市 电信)
2016-04-05 05:03:45 101.227.131.246(上海市上海市 电信)
2016-04-05 08:10:53 211.157.175.99(北京市昌平区 263网络通信)
2016-04-09 03:26:31 42.51.157.111(河南省郑州市 BGP多线)
2016-06-25 02:11:32 110.203.95.71(湖南省长沙市 铁通)
一些关键的时间点:
121.127.225.213(香港特别行政区) 第一个猜解文件名的人,在2015-08-08 01:57:45服务器返回了 404 状态
120.26.231.155(浙江省杭州市 阿里巴巴) 第一个发现此文件存在的人,HEAD 请求,在2016-02-27 02:16:08服务器返回了 200 状态
163.177.69.38(广东省深圳市 联通) 第一个成功下载文件的人,GET 请求,在2016-04-05 04:51:45服务器返回了 200 状态
110.203.95.71(湖南省长沙市 铁通) 在2016-06-25 02:11:32开始,2016-06-25 02:12:22结束,多次断点续传
涉及此文件的所有IP:
121.127.225.213(香港特别行政区)
183.93.224.219(湖北省宜昌市 联通)
115.231.235.142(浙江省嘉兴市 电信)
112.74.207.193(广东省深圳市 阿里巴巴)
120.24.171.125(广东省深圳市 阿里巴巴)
139.196.54.118(上海市上海市 阿里巴巴)
183.61.236.95(广东省东莞市 电信)
120.26.231.155(浙江省杭州市 阿里巴巴)
211.157.175.99(北京市昌平区 263网络通信)
163.177.69.38(广东省深圳市 联通)
101.226.93.234(上海市上海市 电信)
182.140.168.114(四川省成都市 电信)
101.227.131.246(上海市上海市 电信)
42.51.157.111(河南省郑州市 BGP多线)
110.203.62.98(湖南省长沙市岳麓区 铁通)
110.203.95.71(湖南省长沙市 铁通)【多次断点续传】
120.55.88.144(浙江省杭州市 阿里巴巴)
116.255.177.114(河南省郑州市 联通)
总结
这次网站源码泄露事故目前看随没造成什么影响,可能还没找到篡改数据库的漏洞,在未来得到源码后分析可能找到篡改数据库的漏洞,也可能并不像黑了我。不过我还是会保留报警或起诉的权力,相关日志和证据也会保留 。最后提醒大家,备份的东西一定要移出网站的目录,除网站目录外不给IIS任何权限。吃一堑长一智,赶紧删除这个文件。最后是我统计的日志截图
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 大佬 引入jar包那里的 driver class 怎么选的?
- 我也遇到了这个问题,已经解决了,在此分享一下 1、宿主机也要创建kingbase的用户和用户组,并且要查看一下用户和用户组的ID(这个很重要) 2、把data目录的用户和用户组设置为kingbase 3、先不要把data路径挂载到宿主机上,这时就可以正常启动,启动后进入容器,查看一下容器内的kingbase的用户和用户组ID是多少,和第一步的ID是否一致,如果ID一致,那正常挂载目录就行;如果ID不一致,那就需要修改Dockerfile文件,在构建镜像时,修改容器内的用户和用户组ID,必须和宿主机的保持一致。然后重新构建镜像,就可以正常挂载宿主机目录了 4、其实直接修改宿主机的用户和用户组ID也是可以的,但是容器内的ID一般是1000,但是宿主机的这个ID很可能已经被占用了,无法修改,就只能修改容器内的ID
- 接口已经允许跨域请求,也就是说你可以在你的页面上调用,获取用户的公网 IP。 如果你还需要其他需求,可以提交 Issue 给我。
- V008R003C002B0320 这个对应的jdbc链接驱动你在哪里找到的?我也遇到了这个问题。
- WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 kingbase: superuser_reserved_connections must be less than max_connections 我按照文档修改了以后,不知道如何重启。
- 然后把数字都改成 1 再启动。 如何重新启动?
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"
- 进入容器查看一下日志,是不是启动失败了,日志文件在:/opt/kingbase/logfile
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"?
- 先通过 docker exec -it 容器名/id /bin/bash 进入容器,然后在容器中使用 ksql 客户端进行连接数据库:/opt/kingbase/Server/bin/ksql -U system test
- 免费.ml域名10年委托合同到期被马里共和国收回域名经营权
- 从极狐Gitlab看各种中间件技术选型
- 时隔十年首次收到 Google AdSense 的付款
- ga域名被加蓬共和国从Freenom公司手中收回域名经营权
- Freenom 被 Meta(Facebook) 起诉导致暂停 .tk/.ga/.ml/.cf/.gq 等新域名注册
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)