未分類
13 7 月 2020

把公司内网穿透 然后被勒索了 我得付多大责任

把公司内网穿透 然后被勒索了 我得付多大责任

資深大佬 : shoreywong 14

国企 今年入职新员工 没有任何安全培训过 我也不知道不能内网穿透
为了方便维护 我把单位的服务器用 frp 内网穿透了
结果服务器数据库密码太简单 被通过数据库提权控制了服务器
然后导致内网 14 台服务器被黑中了勒索病毒
说是我违规操作
处理结果还没出来 想问问我得付多大责任
我觉得最多就是开除吧 不会让我赔偿吧

大佬有話說 (100)

  • 資深大佬 : bxb100

    运维?

  • 資深大佬 : shoreywong

    @bxb100 #1 新成立的分公司 基本就我一个人开发 做网页 运维都是我 岗位是软件维护员

  • 資深大佬 : wushigejiajia01

    这比删库跑路还严重吧?

  • 資深大佬 : d5

    最近不是攻防演练?是攻防演练的操作,还是真黑客呢。
    我今天也惨了,也可能要被辞退了,具体不能说了。

  • 資深大佬 : itskingname

    要赔偿,一般是一百万以上

  • 資深大佬 : banxiaobu

    八九不离十,要赔偿,多少看具体怎么定量了。估计不光是你,领导也要,嗯,连带责任

  • 資深大佬 : ferock

    没有金刚钻别揽瓷器活

  • 資深大佬 : shoreywong

    @d5 #4 真黑客 被勒索了

  • 資深大佬 : redtea

    说不定要判刑,上次北京一家公司的项目经理把郑大一附院的数据库锁表,导致门诊系统无法正常使用,犯破坏计算机信息系统罪,判处有期徒刑五年零六个月。

  • 資深大佬 : blindie

    赔不赔看损失。判专业行为是不是过错,是看一般同岗位会不会范这事。我看同岗位基本不会这么大意。Frp 都自带 stcp,也不用,稍微有点意识啊。
    前段时间运维操作有问题,800 万五年。

  • 資深大佬 : LancerComet

    如果生产环境重要数据丢失,基本上要做好裤衩赔光的准备了

  • 資深大佬 : jkbspin

    吃点好的吧..

  • 資深大佬 : XiaoxiaoPu

    @redtea 你这个有点吓人了,不至于。主的行为和服务器中毒无直接因果关系,真正造成系统无法使用的是攻击者。

  • 資深大佬 : hiahiahiahia

    该吃吃,该喝喝

  • 資深大佬 : labulaka521

    今天还有个帖子说 自已孕期想用内网穿透到公司内网

  • 資深大佬 : vazo

    岗前培训 数据库密码太简单 搞内网穿透的都有责任.谁好欺负,谁就是主要责任.

  • 資深大佬 : blindie

    @XiaoxiaoPu 不吓人。罗老师讲要认清楚是 A->B->C 还是 B->C 这明显是前者 张三把人腿打断然后他因为动不了被冻死 张三负死亡责任的。你这犯了个是刀杀的人而不是人杀的人的谬误。

  • 資深大佬 : shoreywong

    @vazo #16 公司新成立没有人负责计算机方面岗前培训 我参加的岗前培训跟计算机无关
    数据库密码是分公司一把手设的 单位也就十个人

  • 資深大佬 : xy2020

    主要看损失能否挽回,能挽回多少。
    如果除了付赎金外没有其它办法挽回,赎金无论多少都需要由你承担。
    此外,造成公司业务的损失,如果有合法证明,也需要你承担。没有证明的就算了。
    总额过大、你无力承担的,就会追究刑事责任了。

  • 資深大佬 : volqiu

    心太大了,暂时继续保持吧,有律师朋友还是咨询一下吧……

  • 資深大佬 : shoreywong

    @blindie #17 我也看罗老师 但我觉得内网穿透然后造成比较大的损失是低概率

  • 資深大佬 : vazo

    通话交流要保留好证据.只要你不是里应外合,应该不会只有你一个人的责任.

  • 資深大佬 : XiaoxiaoPu

    @blindie 主这个事情,攻击者并不是死物 “刀”,而是有行为的能力的攻击者。别搞类比,类比没有说服力。我还类比成,张三是屠夫,他没有保管好自己的杀猪刀,李四偷了他的刀把王五杀了,问张三有什么责任?

  • 資深大佬 : zealic

    你本身就意识不到内网穿透带来的安全风险,是具有大部分责任的;
    这种事情应该走流程,所以你确实违规了,如果是在涉密单位,那基本就得坐牢;
    正规流程是申请 VPN 访问内网,如果 VPN 有问题则属于泄密或者维护者的问题,国企不差 VPN 设备这点钱。

  • 資深大佬 : ifxo

    赎金高不高,不高就自己掏了吧

  • 資深大佬 : whywhywhy

    你自己要用什么就映射什么,但是映射出去的一定不要有弱密码、已离职同事知道的密码也不行,安全防范的底线就是“可控”,像很多人喜欢用 Abc123 类似这样的密码去“符合密码要求规则”,还有就是互相分享自己账户的密码给别人,真的是很恶心,搞得一个个本来安全的东西变得一点都不安全。。

  • 資深大佬 : raaaaaar

    @blindie #10 这不抓反而抓运维,搞笑啊,运维就是操作有问题也不是故意把密码透露给别人的吧,哪天写 bug 造成损失岂不是程序员也要坐牢了。

  • 資深大佬 : blindie

    @raaaaaar 不是只有一个有责任的。

  • 資深大佬 : bxb100

    @shoreywong #2 新成立的估计业务数据也不会太重要, 保重

  • 資深大佬 : shoreywong

    @bxb100 #29 我们单位几乎没损失 主要是其它单位

  • 資深大佬 : blindie

    @shoreywong 虽然很同情你的遭遇 但就事论事确实发生了相应后果 你主观认为是低概率 放裸端口也不是同行常规操作 这在法律上叫做“抱有侥幸心理,安全意识淡薄”

  • 資深大佬 : goofool

    为啥服务器被黑了就直接找到你了,你还告诉别人你用了 frp?

  • 資深大佬 : Tvan

    别吓主

  • 資深大佬 : kuzhan

    最近大鱼大肉该吃吃该喝喝吧,毕竟里面几年吃不到多少鱼肉!

  • 資深大佬 : 594duck

    理论上你不是主观作恶,不会重判,另外你们单位自己一岗多责,权责不清,领导不重视安全问题,负主要责任。记住态度要好,表现诚恳。

    另外你报警了么,记得提醒领导报警。

    以后不懂不要乱弄。你方便人家也方便。我们买 vpn10 万,15 万,你以为是好玩啊。那是血和泪的教训。

    这两天 V2EX 小粉红洗地。你自己看清楚。

  • 資深大佬 : shoreywong

    @goofool #32 管网络的单位请了安全专家来查日志 发现是从我的服务器数据库入侵的 而且第一时间拷走了我的服务器所有文件 桌面上甚至有我的 frpc 配置文件 我觉得瞒不住 一开始我觉得最多就是 ddos 攻击 就说了 没想到通过数据库之间控制了服务器

  • 資深大佬 : goofool

    @shoreywong 你们这些服务器都是测试服务器,不是生产服务器吧

  • 資深大佬 : shoreywong

    @goofool #37 我们是能源企业 这些都是信息化系统 比如传合同 上报日报周报啥的

  • 資深大佬 : dorothyREN

    还不如直接在服务器上 rm -rf /*呢,就说是误操作了。

  • 資深大佬 : eviladan0s

    @d5 攻防演练不会搞勒索病毒的

  • 資深大佬 : xcodeghost

    这个事情既然发生了,那么一定单位领导肯定要找一位替罪羊的,你说不找你找谁。

  • 資深大佬 : x86

    从来不拿公司电脑做其他事…

  • 資深大佬 : eviladan0s

    给后面看到的小伙伴提个醒:
    1.内网机器需要外网访问的,不要自己搞内网穿透,实在不行让领导买设备
    2.弱口令,弱口令,弱口令,永恒不变的话题

  • 資深大佬 : ouqihang

    看能不能抓到人,现在支付渠道都有追踪,真正的勒索者才负主要责任。
    不是说疫情期间有人弄勒索病毒,被警告,后果 xxx,后来自己解了。

  • 資深大佬 : oneisall8955

    慌了,赶紧把穿透关掉

  • 資深大佬 : across

    @redtea 判刑那种是蓄意破坏的···

  • 資深大佬 : sujin190

    公司服务器好歹弄个 vpn 啊,frp 这种不靠谱的也敢在公司服务器上玩。。

    非主观恶意且明确知道有风险的造成损失的,比如 bug 这种,谁知道哪会有 bug 啊,而且 bug 这属于开发流程不严谨公司管理流程有问题,这种确实不承担责任,但是吧你这个属于预知有安全风险还主动安装这软件且未和领导沟通导致被入侵,虽然非恶意,估计连带责任是很难逃掉了,如果有备份或是非交易算法知识产权啥的不会造成重大损失的那就太庆幸了

    公司电脑啥的说真的还是别乱装工作无关的,更别说服务器了,指不定哪天就要背锅

  • 資深大佬 : 20150517

    我觉得趁现在没被关押,赶紧逃出境吧

  • 資深大佬 : expy

    frp 没有 vpn 那样的访问控制吗,怎么就直接搞到数据库了?

  • 資深大佬 : getadoggie

    攻击者要达到他的目的,是需要一系列的“门”的,这些门每一个都很重要,都是缺一不可,你只是误开放了其中一个门。要追究的话,你要负私自修改系统以让系统潜在的缺陷增加这一个责任。由于造成了较严重的后果,对于后果你也要负一定的责任。其它的门也是由公司对应的人把守的,他们在这一过程中绝对要负对应的责任,只不过看起来不像你这么明显而已。比如放任若密码这一道门。如果查到具体的攻击流程,你要算算这里一共开了多少门,分别应该由哪些人承担(你不去检查这些其它人只会甩锅给你),然后由门的大小计算责任。最后我想你还是要赔钱的,这个应该跑不掉,只不过数额需要你努力把它客观化,别让某些过于自私的人把责任都推到你身上。

  • 資深大佬 : CEBBCAT

    FRP 就只是端口转发,不知道现在是不是默认开启通讯加密,反正我之前是开了的,也开了压缩。

    这等于把内网服务的端口对外开放到一个固定的端口上了,别人只要嗅探出端口对侧服务,就可以暴力破解了。

    主说得还是不够清楚,比如说是把数据库还是 sshd 的端口给映射出去了?

    各方都有责任

  • 資深大佬 : shoreywong

    @CEBBCAT #51 我把数据库 rdp 和 8080 映射出去了 是从数据库进来的 我也很奇怪它为啥能知道比如说我把 3306 映射到 9999 他怎么知道是数据库端口的 应该没加密 上面有人说的那个 stcp 好像才是加密的 哎 不知道 刚弄好没一周

  • 資深大佬 : 0x6c696e71696e67

    @blindie 1,分公司就他一个技术员,被黑了当然第一时间找他。2,他不用告诉任何人,总公司派人来一查就知道了

  • 資深大佬 : xupefei

    @20150517 你还真敢说…要是主真的跑了你就要被抓了

  • 資深大佬 : im3x

    @shoreywong #52
    可以通过端口的流量指纹识别,简单说就比如,你用 nc remote-addr 9999 的时候,会返回带有 mysql 字符串的流量特征,扫描程序就可以自动识别为数据库了

  • 資深大佬 : shiny

    @redtea 记得那次是因为擅自把管理员密码偷偷记了下来,方便自己操作

  • 資深大佬 : Felldeadbird

    我认为需要先确定一个事情,内网穿透这个事情 公司知道不?

    如果不知道私下开启,你就需要担责。

  • 資深大佬 : Felldeadbird

    没有任何安全培训过

    主最好找个律师朋友咨询一下。不要乱说话,免得无辜担责。

  • 資深大佬 : xupefei

    @XiaoxiaoPu 主本质是开门放狗,门开了,狗进不进来是另一回事。重大过失这个锅是怎么也甩不掉的。

  • 資深大佬 : redtea

    刑法第一百六十八条 国有公司、企业、事业单位人员失职罪
    国有公司、企业的工作人员,由于严重不负责任或者滥用职权,造成国有公司、企业破产或者严重损失,致使国家利益遭受重大损失的,处三年以下有期徒刑或者拘役;致使国家利益遭受特别重大损失的,处三年以上七年以下有期徒刑。

  • 資深大佬 : testver

    @shoreywong

    这个事可大可小,有人罩你,说交了学费也没啥问题。

    没人管你,公事公办,坐牢也不是不可能。

    找个好点的律师,咨询下吧。

  • 資深大佬 : arischow

    方便维护可以 SSH 密钥 + 堡垒机,这么大的事情咨询律师吧

  • 資深大佬 : arischow

    公司也野鸡,居然让你这么搞。。。

  • 資深大佬 : plko345

    我好奇的是 frp 怎么配置的,有什么漏洞吗?

  • 資深大佬 : watzds

    这么个粗糙公司就一个人维护所有,能是什么重要东西

    我觉得不严重,就是发展初期踩坑

  • 資深大佬 : watzds

    @shoreywong 端口扫描的估计

  • 資深大佬 : Verx0

    樓主今晚應該是睡不好覺了……

  • 資深大佬 : gangsta

    关注一下 希望没事 主如果方便的话, 更新一下后续, 其他人引以为戒

  • 資深大佬 : namaketa

    我在学校也干过类似的事。
    rdp 直接 frp 到公网,结果被永痕之蓝彻底干翻,心都碎了。
    结果那段时间整个内网病毒泛滥,一片狼藉。
    根本没人追究是谁干的,也可能是信息处的老师帮我包庇了。
    从那以后我就认识到不要随便放公网端口,到处都是扫描器,不出两天骨灰都给扬了。

  • 資深大佬 : nuk

    老哥居然敢直接暴露内网服务,现在不出问题迟早要出问题的。
    且不说弱密码,你能保证这些服务没有 0day 漏洞?
    这个学费有点贵啊!
    ssh 反向连接+ssh 端口转发才是正道啊,关键是犯事也很难确定到你身上,文件审计没毛病,流量审计 ssh 也没毛病,打死不承认就行了。

  • 資深大佬 : moln

    我就是想问问,比如火箭发射失败了,连卫星一起摔掉了,那么大的损失,是不是每次都得抓一批科研、技术人员坐牢?

  • 資深大佬 : li492135501

    建议跑路

  • 資深大佬 : JamesR

    算天灾意外吧,服务器没有打补丁,没有安装杀软也是问题,不完全主责任。

  • 資深大佬 : iamwho

    能源企业是要做等保的吧,这怎么过的?

  • 資深大佬 : ryd994

    1.单位没有安全培训
    2. 服务器弱密码
    3. 出口流量没有限制和没有审计
    4. 服务器没有及时更新
    5. 没有备份 /其他应对勒索病毒的措施

    你开端口是直接原因,但安全生产事故从来都不是只有一个原因。事故不是偶然,而是各种违规叠加在一起的必然。把责任推给直接责任人是没有用的,只有吸取教训,改进规章制度,才能从根本上消除事故。

  • 資深大佬 : yzkcy

    给主提个建议:有错就认,挨打立正,就别想着分锅了。
    这个事可大可小,轻的扣个绩效就完了,单位就当作买个教训;
    重的判刑也可能,因为是你的原因(你搞 frp 可能会被认为主观故意)导致了内网被黑。(参考 https://www.infoq.cn/article/RZzfel1m6-h8pSK8TTC9 这个案例,大疆的程序员无意间把公司的项目传到了 gitHub,配置文件里有 AWS 私钥,然后被大疆告了,判半年+20 万罚款)

    你现在最需要做的是卖惨拉同情跟能说得上话的领导搞好关系,找勒索病毒的解决方案把危害最小化,态度端正点,努力争取宽大处理。否则本单位或兄弟单位选择告你,有可能判刑的。

  • 資深大佬 : noogler67

    我觉得主问题不大。可以看出单位不怎么重视安全。主只是技术失误。和多个技术失误在一起导致了一个比较弱的弱点。警察有本事去抓黑客啊。

  • 資深大佬 : cranelee13

    @shoreywong
    nmap -sV -T4 -Pn -n -open 127.0.0.1 -p 3306

  • 資深大佬 : shutongxinq

    暴露内网相当于把防火墙拆了,挺严重的,建议去外地躲一躲

  • 資深大佬 : zbttl

    @moln #71 火箭发射失败一般都会有报告的吧,要是复杂的、非人为技术失误,那总结总结也就算了;反过来要是查出来是哪个人偷了某个零件导致发射失败,可能就不是开一批人那么简单的事情。

    本质上和主这个事情没区别。

    frp 默认这种单端认证还真是非常不安全的东西,我曾经给我家里电脑开过 rdp,结果过几天一查日志,都被扫到姥姥家了。而且你放自己管理的服务,然后给服务上高强度密码就算了,你放别人维护的服务这说不过去吧。。。主锅你肯定要背,至于背多少,就要看看你人际关系上的造化了,如果你们领导说话算数和你关系好,那你就把锅揽了吧。反之,上有人提到把权责客观化的,你看着来吧。

    当然最好是能抓到勒索的,那你基本就没啥事。

  • 資深大佬 : hronro

    为啥不用 nebula 之类的来做内网穿透呢,nebula 明显要安全的多

  • 資深大佬 : falcon05

    多半不是 frp 的问题,而是映射出去服务的问题,比如远程桌面,数据库弱密码,被暴力破解。或者 frps 所在服务器自身被攻陷,顺藤摸瓜黑入被代理端。

    而且 frp 有一种模式是要连接被代理服务,访问端也要开 frp 验证的模式。代理服务器、访问端、内网被访问端都要运行 frp 。

  • 資深大佬 : axo

    后续处理结果,希望给大家通报一声。不要问完意见就跑了。

  • 資深大佬 : wmxl

    我觉得很多时候都是可大可小的,看主造化了。还是建议主和领导同事搞好关系,同时早点联系律师咨询。最后主处理结果出来了,可以更新一下,给后人一些警示和提醒。

  • 資深大佬 : hellos

    @moln 比喻都不会比喻,应该是:火箭上有个螺丝拧的好好的,发射前你把它偷偷拧下来了。现在因为这个螺丝导致发射失败了,你敢说你没有责任?!

  • 資深大佬 : loading

    外网可能是专业的硬件防火墙,你穿透挖了个隧道,建议交代好身后事吧。

  • 資深大佬 : hanbing135

    纯正国企的话 有可能屁事没有 比如领导不当回事 有可能得坐牢 看上面领导讨论呗

  • 資深大佬 : darknoll

    我稍微幸运些,同事机器密码都没猜出来,只是自己机器被勒索,而且我平时代码都习惯提交到 svn 或者 git,所以晚上偷偷重装了,没有人知道。

  • 資深大佬 : darknoll

    @labulaka521 这事关键是弱口令的问题。

  • 資深大佬 : opengps

    造成损失多大?惩罚是否要执行到位的主要根据就是损失,一般指经济损失。不过这个误操作怕是要对你影响很久

  • 資深大佬 : alfchin

    @raaaaaar 运维违章操作导致,构成玩忽职守。两件事一码归一码,黑客抓运维也跑不了。

  • 資深大佬 : alfchin

    @moln 这和主完全是两个性质。
    主是明知或者应当知道使用不可控软件的安全风险,但仍在敏感设备上面使用,并造成严重损失。
    发射火箭砸了,大概率是非主观原因导致的。如果和主一样成因砸了,判刑进去的好几个。

  • 資深大佬 : jin7

    关注后续 不懂安全 frp 之类的还是不要用了

  • 資深大佬 : bwangel

    收藏了,蹲个后续。

  • 資深大佬 : jagger2048

    所以还是直接用 zerotier one 好些,至少还有个后台来管理接入的设备

  • 資深大佬 : ak47007

    是自己搭的 frp 还是用的别人的

  • 資深大佬 : xmlf

    1.frp 服务器服务端口仅对特定 ip 开放,家宽用 ddns 自动更新。

    2.使用 stcp 模式开放端口。

    做好以上两点,怎么还会有问题呢?

  • 資深大佬 : lychs1998

    劳动合同应该会有相关的赔偿条款?开除是肯定的了,赔偿肯定会有,要不要负刑事责任就看你们公司的意思了。

    在国企里办事,所有可能影响到别人的操作,都打报告让上面批准了再干。

    我也是国企,入职第一个月在公司服务器上搭建 gitlab,把代码从 SVN 转移到 git 管理,也是 leader 觉得有用+部长批准才搭建的。

  • 資深大佬 : isnullstring

    多手,还不用 STCP

  • 資深大佬 : beingbin

    我要是记得没错,国家电网内网机插了手机、无线网卡好像要被罚一万吧?之前有次电脑密码改弱密码了,被内网警告,罚了 2000