PHP 转运维遇到的难事

上个月机房漏洞扫描，检测出两个漏洞，要求整改，并对主机进行了下线处理。 1.服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) [原理扫描]  扫描工具绿盟，建议解决方式为 nginx 升级到 0.8.x+  2.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 [原理扫描]  绿盟建议为设一个 2048 位的 key。  即便 nginx 关闭 443 端口，机房仍然说主机 443 已开启，能扫到 https 漏洞。  百思不得其解，机房坚称自己无问题，要我方签署明知有漏洞责任书，才给开通主机。  求大佬指点下如何解决。  当 nginx 关闭 443 端口时，机房有时候说我 443 是关的，有时候说我是开的，没谱…… 当使用 nginx 端口 443 作为普通接口时，仍然说是 https 漏洞。 

• 資深大佬 : hefish

  这些扫描感觉都是根据版本号判断的，有些补上了漏洞，它们也不管。

• 資深大佬 : Greenm

  明确告诉你，就是绿盟的扫描器垃圾，这样明显的误报也能报出来

• 資深大佬 : zjsxwc

  破事真多，换机房不行吗

• 主 資深大佬 : NerverLibis

  @hefish 我已经修改了 openssl 的 s_client 的 C 扩展，关闭了重协商，对方还说有这个漏洞，费解，而且我压根没开 443……

• 主 資深大佬 : NerverLibis

  @zjsxwc 政务云，不能换，不能调，只能……

• 主 資深大佬 : NerverLibis

  @Greenm 绿盟的防火墙，华为的路由器，微软的 SAS，怎么就成这样了，唉

• 資深大佬 : realpg

  该送礼就送礼就完事了

• 資深大佬 : realpg

  该买人家要你买的软件你就买

• 資深大佬 : hasdream

  我遇到过说 nginx 有漏洞让我升级，我没升级，隐藏版本号，别人就不要求整改了。 扫描器都是根据版本查 cve 漏洞。

• 主 資深大佬 : NerverLibis

  @hasdream 问题我没开 443，机房非说我开了，还让我写承诺书，明知道自己主机有漏洞仍然上线，承担行政责任，绿盟的锅强行要我背

• 主 資深大佬 : NerverLibis

  @realpg 懒得动，服务器关就关呗，破东西不好用，走行政投诉招标局

• 資深大佬 : Showfom

  还有个很傻逼的原因可能大家都会忽略，可不可能是机房给输错 IP 了，你的 IP 和真有漏洞的 IP 很像，然后给弄混淆了

  别笑，这事情真发生过很多次

• 資深大佬 : MrUser

  端口的问题是不是因为防火墙没有关闭 443，
  虽然 nginx 不使用 443，但 443 可能还是对外开放着，只是这个端口上可能没有提供服务的程序

• 資深大佬 : ycookie

  @NerverLibis 问个题外话，转运维，工资降多少？

• 主 資深大佬 : NerverLibis

  @MrUser 绿盟只能在防火墙关闭的时候使用，所以全端口都应是开放的…当没应用监听 443 时，也不应出现 https 漏洞，因为没握手

• 主 資深大佬 : NerverLibis

  @ycookie 降 2000

• 主 資深大佬 : NerverLibis

  @Showfom 漏扫报告是经常给错，IP 还是对的，此机房下所有服务器都有 DH 公钥过弱漏洞，但是机房就说自己没错，没漏洞，睁眼说瞎话，我也不知道怎么办了

• 資深大佬 : Songxwn

  开发居然转运维，当背锅侠吗？

• 主 資深大佬 : NerverLibis

  @Songxwn 冷冬恰饭，难，2019 年失业三个月，换了四家公司，精准投了至少 500 份简历，全北京投遍没有活路，语言是 PHP

• 資深大佬 : lvzhiqiang

  让他给扫描报告你看看，详细的报告，报告 IP 之类信息。 不然凭嘴说能确定是不是你的服务器？

• 主 資深大佬 : NerverLibis

  @lvzhiqiang 是我的 IP，但是没开的端口报错
• 資深大佬 : PolarBears

  整改的话就正常整改吧,然后添加防火墙规则只允许自己单位的 IP 段访问,如果必须通过政务云的堡垒机来访问控制主机的话,也可以想想办法把他搞通到本地可以不通过堡垒机连接.

• 資深大佬 : TanLeDeDaNong

  和老哥不一样的是，我是离职大休 6 个月出来发现大清亡了，果断三线运维恰饭。

• 資深大佬 : lvzhiqiang

  @NerverLibis 最好详细看看漏洞报告，一般报告会有修复建议的。按照修复建议操作，基本上就没问题了。

• 主 資深大佬 : NerverLibis

  @lvzhiqiang 绿盟给的解决方法也算是简洁粗暴，且无用。在本地 nginx 版本为 1.17.5 的情况下，给我提示 10 年前的版本……
  Nginx 解决办法：
  0.7.x 升级到 nginx 0.7.64
  0.8.x 升级到 0.8.23 以及更高版本。
  http://nginx.org/en/download.html

• 資深大佬 : Showfom

  @NerverLibis 哦 那简单，直接把机房的 ip 用 iptables 屏蔽掉 机房 ip 会找吧？

• 主 資深大佬 : NerverLibis

  @Showfom 不开防火墙 机房不给扫描…

• 資深大佬 : kawowa

  同样遇到过这类事情，是在最后验收的时候，甲方会请等保评测的人过来扫漏洞，然后说要 tomcat 版本在多少多少以上才能避免漏洞。
  但问题是我明明是 Apache 官网上下载的最新版…
  解决方法同上，隐藏版本号即可。

• 資深大佬 : Showfom

  @NerverLibis 那你编译个 nginx 把 nginx 改成其他的名称 比如什么 saonima 版本号 233

• 主 資深大佬 : NerverLibis

  @Showfom nginx 是编译的最新版本，版本号 off 过了，通信隐藏不掉 web 服务器的，协议可以看到 http 头 服务器类型，明天我准备去机房物理停机，再查再看

• 主 資深大佬 : NerverLibis

  @kawowa 专家评审 等保测评 等保备案都过了。

• 資深大佬 : msg7086

  @NerverLibis #30 编译的时候没改源代码吗？怎么可能隐藏不掉 Web 服务器。

  https://g.x86.men/root/nginx-pika/commit/274a5d7e0c196008d2fed248c6b6aa93b3248771

• 資深大佬 : Showfom

  @NerverLibis 可以隐藏的 自己改源码 改成上的 IIS

• 資深大佬 : 2379920898

  可以换个城市啊，

• 資深大佬 : lvzhiqiang

  @NerverLibis 那没办法，他们的漏洞策略陈旧。很好奇，他们没更新策略的么？

• 主 資深大佬 : NerverLibis

  @lvzhiqiang 机房分包，防火墙 路由器 sas 机房运维由四家公司分别负责

• 資深大佬 : xenme

  上有政策下有对策

  扫描大多就是根据特征匹配，发现你用了啥，某个版本就直接报，所以针对性改改伪装下就好了，自己确定补丁和漏洞打了就行

• 資深大佬 : lc7029

  一般来说漏扫是根据软件版本号扫描，就算修复了漏洞，软件版本不变一样会报漏洞。
  扫描器 IP 不能墙掉，我们曾在交换机上做了 ACL，deny 掉漏扫的流量，被找过来了。。。
  另一种可能就是上说的，机房给错 IP 了。
  另外，建议 LZ 找专业运维咨询，开发和运维的思路差别很大。

• 主 資深大佬 : NerverLibis

  @lc7029 @xenme @vzhiqiang @Showfom @msg7086 @kawowa @lvzhiqiang @MrUser @Songxwn @Greenm @hefish
  问题已解决，今天把服务器关了，仍显示端口开放。
  于是机房运维给我解释说 IP 地址冲突，给我换宽带，具体原因他想办法抓包查看云云……

• 資深大佬 : msg7086

  @NerverLibis 这机房也……太水了吧，交换机上不做保护吗……偷 IP 还行……

• 資深大佬 : hefish

  @NerverLibis 卧槽，有一种想打人的冲动。

• 資深大佬 : jugelizi

  哈哈
  同样给政|-府系统维护
  然后 他们有个二级域名另外一家的系统爆漏–洞
  整改通知书发我这里来了

• 資深大佬 : lc7029

  @NerverLibis 日。。。这机房这么水。。。居然不做隔离的？划个子网也行啊。。。