2016-07-11 18:29:14

NEILREN.COM 网站源码泄露 遭到下载 后院起火


NEILREN.COM 网站源码泄露 遭到下载 后院起火

由于前段时间一直忙着找工作,又刚来北京,生活节奏比较快,很少打理网站和服务器,今天在进行日志分析的时候,发现了一个非常严重的人为漏洞,造成了网站源码泄露。

因为网站版本更新的时候,我都会习惯的留一个备份版本,就是将旧网站用RAR压缩,再用新文件替换,但我没想到的是伟大的社会工程学和扫描程序,尽然猜解到了文件名, 造成源码的泄露,有人扫描到了www.neilren.com/neilren.com.rar 这个文件,这个文件是我整个网站的程序,里面还包含了数据库的链接字符串,数据库地址、数据库名、用户名、密码。

在发现被人下载了以后,我马上检查数据库,不过比较幸运的是阿里云的RDS的安全机制,我使用的是内网数据库连接地址,当然也有来自阿里云内网的下载,不过RDS还有个机制,那就是白名单机制, 想要连接数据库,那么服务器IP必须被添加进白名单才行,索性后院没有起大火,数据没有被篡改,我马上修改了数据的密码。

下面来看看我的统计信息:


neilren.com.rar 文件共被请求 55次,其中 HEAD 请求30次(200状态10次,404状态20次),GET求情25次(200状态7次,206状态17次,404状态一次)

neilren.com.rar 文件被成功下载7次,以下是成功下载该文件的人:
2016-04-05 04:51:45 163.177.69.38(广东省深圳市 联通)
2016-04-05 04:51:48 101.226.93.234(上海市上海市 电信)
2016-04-05 04:55:39 182.140.168.114(四川省成都市 电信)
2016-04-05 05:03:45 101.227.131.246(上海市上海市 电信)
2016-04-05 08:10:53 211.157.175.99(北京市昌平区 263网络通信)
2016-04-09 03:26:31 42.51.157.111(河南省郑州市 BGP多线)
2016-06-25 02:11:32 110.203.95.71(湖南省长沙市 铁通)


一些关键的时间点:
121.127.225.213(香港特别行政区) 第一个猜解文件名的人,在2015-08-08 01:57:45服务器返回了 404 状态
120.26.231.155(浙江省杭州市 阿里巴巴) 第一个发现此文件存在的人,HEAD 请求,在2016-02-27 02:16:08服务器返回了 200 状态
163.177.69.38(广东省深圳市 联通) 第一个成功下载文件的人,GET 请求,在2016-04-05 04:51:45服务器返回了 200 状态
110.203.95.71(湖南省长沙市 铁通) 在2016-06-25 02:11:32开始,2016-06-25 02:12:22结束,多次断点续传


涉及此文件的所有IP:
121.127.225.213(香港特别行政区)
183.93.224.219(湖北省宜昌市 联通)
115.231.235.142(浙江省嘉兴市 电信)
112.74.207.193(广东省深圳市 阿里巴巴)
120.24.171.125(广东省深圳市 阿里巴巴)
139.196.54.118(上海市上海市 阿里巴巴)
183.61.236.95(广东省东莞市 电信)
120.26.231.155(浙江省杭州市 阿里巴巴)
211.157.175.99(北京市昌平区 263网络通信)
163.177.69.38(广东省深圳市 联通)
101.226.93.234(上海市上海市 电信)
182.140.168.114(四川省成都市 电信)
101.227.131.246(上海市上海市 电信)
42.51.157.111(河南省郑州市 BGP多线)
110.203.62.98(湖南省长沙市岳麓区 铁通)
110.203.95.71(湖南省长沙市 铁通)【多次断点续传】
120.55.88.144(浙江省杭州市 阿里巴巴)
116.255.177.114(河南省郑州市 联通)


总结

这次网站源码泄露事故目前看随没造成什么影响,可能还没找到篡改数据库的漏洞,在未来得到源码后分析可能找到篡改数据库的漏洞,也可能并不像黑了我。不过我还是会保留报警或起诉的权力,相关日志和证据也会保留 。最后提醒大家,备份的东西一定要移出网站的目录,除网站目录外不给IIS任何权限。吃一堑长一智,赶紧删除这个文件。

最后是我统计的日志截图


商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1003263
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!

关注任霏博客
扫码关注「任霏博客」微信订阅号
微博:任霏博客网
Twitter:@renfeii
Facebook:任霏
最新留言 优先级低的并不代表一定要等到优先级高的运行完才能运行,只是cpu分配的资源少了而已。 /lib64/ld-linux-x86-64.so.2: No such file or directory 报了这个错误,怎么解决呢 对于一个布道 DevOps 多年的选手来讲,看到这个报告,还是想继续布道布道。虽然是各种对比哈,但是我感觉与 DevOps 太像了(可能是职业病犯了哈)。首先声明本人不是GitLab 用户(因为不免费,没法薅羊毛啊),本人是 GitHub 忠实用户。 首先,你这是田忌赛马的对比,中文对比一事,着实有点可笑 1 土生土长和外来户能立马拉到同一个起跑线上吗? 2 一个真正的开发者应该去提升自己的英语能力,而不是拿全部是中文文档说事。大家都知道现在开源非常热,开发者是开源的主力军,如果要贡献优秀的开源项目(诸如Linux 内核,Kubernetes),英语就是个硬门槛。如果我是你,我倒希望公司内部的系统是英文的,最起码能让我锻炼英语,在看开源项目文档的时候不至于看不懂,提 PR 的时候不至于提交代码的内容描述不清楚而没法被 Merge。 其次,阿里云效、Coding 大家都知道背后站的是谁,很容易造成厂商绑定,现在很多企业都希望不要被厂商绑定。 再者,有一个点需要明白,GitLab 是一个 DevOps 平台,什么叫做 DevOps 平台(DevOps 走到现在,确切的说应该叫做 DevSecOps)?就是覆盖了软件开发生命周期全阶段的,从项目管理到代码托管到安全再到日志监控、甚至包含现在的云原生能力。不仅仅是说一个 CI/CD 就能概括的了的。这一点是 DevOps 布道的真正误区,我见过太多了,我在这儿再布道一哈,CI/CD 不等于 DevOps,他只是 DevOps 落地实践的核心能力。仅凭借一个 CI/CD 能有现成模版就判断出哪个好坏,过于牵强了吧。相信大家真正到项目用的时候,模版是满足不了要求的吧,毕竟大家都很特性化。 最后,还是一个很热的话题,开源,open source。GitLab 是开源的,Coding 和 云效这方面我没看到相关的开源内容(可能是我孤陋寡闻)。大家可以看看国内有多少用 GitLb 的,GitLab 的 CE 版,然后私有化部署,就是很多公司的代码托管 + DevOps 解决方案。 个人愚见,做一些对比报告的时候,还是先需要明白这个产品的定位,去深入挖掘一些真正有意义的对比,这样的对比报告才能有意义。作为一个常年写博客、文章的人来说。你写的每个字、每篇文章,你要想到你的思想会影响到别人。有可能因为你的片面之词,让别人错失一些学习的好机会。 docker run 那一长串后,出来一个字符串,然后去 docker containers 下面看 显示 exited(1);logs 下就一行错误 initdb failed 感谢🙏,第一个问题是空格的问题应该,我逐字敲完后可以构建了.第二个问题是我docker环境的问题,docker更新为最新版后需要重置配置文件.现已经正常使用,再次感谢您的分享和您的细心解答,期待下次相遇😄 还有一个问题可以请教下吗?就是我在容器里建文件夹没有权限,su root后密码不知道是多少,sudo mkdir xxx 提示我,没有sudo命令,请问有好的解决方法吗?谢谢解答 -v 后面可以指定文件吗 我的也是报错,还有。我执行了这个:@localhost kingbase-es-v8-r3-docker % docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3 docker: 'run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3' is not a docker command. See 'docker --help' 麻烦帮忙看下,是不是我写的命令有问题,还是版本问题,谢谢啦 请问我build的时候一直报错,是资源没了吗?failed to solve with frontend dockerfile.v0: failed to create LLB definition: failed to do request: Head "https://reg-mirror.qiniu.com/v2/library/centos/manifests/7?ns=docker.io": Moved Permanently 能不能在代码那里详细解释一下啊,没完全懂呀 en 按照路径上的来操作的,但是启动时一直报:zsh: no such file or directory: docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /Volumes/installation/opt/kingbase/data:/opt/kingbase/data -v /Volumes/installation/opt/kingbase/bin/license.dat:/opt/kingbase/Server/bin/license.dat kingbase:v8r3 错误