V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Chappako
V2EX  ›  问与答

叔叔因项目目录内有 .git 目录给出处罚

  •  
  •   Chappako · 131 天前 · 16001 次点击
    这是一个创建于 131 天前的主题,其中的信息可能已经有所发展或是发生改变。
    帮朋友做的项目,放在阿里云

    前些天收到吉林东少数民族州叔叔的处罚决定书,执行方式为当场训诫,并要求整改

    原因是,项目文件夹中找到了 Git 的元数据目录(Git),攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

    目前已删除项目下 .git 目录,并提交了整改报告

    想问一下,其他地方也有这种操作么
    120 条回复
    1  2  
    opengps
        1
    opengps  
       131 天前   ❤️ 7
    这样挺好
    如果做过等保的话,很多这种小细节都会要求改掉,本来黑客技术就是综合利用了一些很小的漏洞来实现了很大的危险
    1rv013c6aiWPGt24
        2
    1rv013c6aiWPGt24  
       131 天前 via Android   ❤️ 1
    这不挺好的?
    pfffs
        3
    pfffs  
       131 天前
    很多人把密钥之类的敏感信息也提交到 git ,确实不太安全
    kuaner
        4
    kuaner  
       131 天前   ❤️ 18
    这种属于非常严重的低价错误
    bluehr
        5
    bluehr  
       131 天前   ❤️ 2
    想问一下,其他地方也有这种操作么

    这个操作很正常,这已经是入门级的网络安全题目了,比如 CTFHUB 里面的入门课程
    huzhizhao
        6
    huzhizhao  
       131 天前
    看当地要求
    我上家,做等保的时候也没有要求这些
    ZGame
        7
    ZGame  
       131 天前
    又没罚钱 我感觉没啥问题吧..
    cominghome
        8
    cominghome  
       131 天前
    合理,该整改就整改。个人认为等保、iso 认证一类的审计流于形式,但有些指导项和细节确实是可以的
    coderluan
        9
    coderluan  
       131 天前   ❤️ 1
    不太明白,有安全问题我理解,但是为啥是叔叔管这个,是楼主这个项目本身就是给体制内用的?
    follow
        10
    follow  
       131 天前
    问题是,1. jc 怎么知道的? 2. 你们上线服务没做基本的防护么?
    proxytoworld
        11
    proxytoworld  
       131 天前
    @follow 有公司扫描


    @coderluan 网警,确实归他们管
    loading
        12
    loading  
       131 天前   ❤️ 37
    安全部门懂查这个,我倍感欣慰。
    zljklang
        13
    zljklang  
       131 天前
    项目用的公网代码仓库吗
    dingyaguang117
        14
    dingyaguang117  
       131 天前
    政府项目?
    Configuration
        15
    Configuration  
       131 天前   ❤️ 1
    如果是你的项目部署方式有问题,在服务器上被扫描到的,那没毛病,就是你的锅
    iOCZS
        16
    iOCZS  
       131 天前
    多大的事,我的个人网站也被这样搞过
    duanxianze
        17
    duanxianze  
       131 天前
    政府项目的话合理,确实是你们的错
    weixind
        18
    weixind  
       131 天前   ❤️ 1
    @follow 1. 叔叔也会扫网滴。很多人刻板印象觉得叔叔技术不好。2. 发帖的人可能都不知道这样为啥有问题。不然也不会发帖了。
    twofox
        19
    twofox  
       131 天前
    我做的小项目,一直都有这种扫描器,扫描.git 、backup.tar.gz 、config 、dump.sql 之类的很多很多
    746970179
        20
    746970179  
       131 天前
    想问下, 如果没有 git, 如何把代码同步到服务器呢?
    slowmist
        21
    slowmist  
       131 天前
    是的 是一种安全隐患
    lxqxqxq
        22
    lxqxqxq  
       131 天前
    @coderluan #9 op 没讲清楚 看的云里雾里的
    ZZ74
        23
    ZZ74  
       131 天前   ❤️ 2
    @kuaner 我的 v 油 你这错别字也属于于非常严重的低“价”错误
    dylanqqt
        24
    dylanqqt  
       131 天前
    @proxytoworld 我做自己的项目,写了一个 bug ,jc 也有权利对我进行处罚么
    x86
        25
    x86  
       131 天前
    隐患,和以前扫.svn 差不多
    sentinelK
        26
    sentinelK  
       131 天前   ❤️ 25
    项目目录内有 .git ≠ .git 放在生产环境

    楼主,标题党不是这么当的。
    weixind
        27
    weixind  
       131 天前
    @sentinelK 他这个大概率是把 .git 放生产环境了。
    Fca
        28
    Fca  
       131 天前
    没看懂,你自己的项目叔叔凭啥管呐?
    bzj
        29
    bzj  
       131 天前
    问题不是 git 放到生产环境,而是这个目录权限没有配置好
    rdZZZ
        30
    rdZZZ  
       131 天前
    真他妈闲的蛋疼
    Felldeadbird
        31
    Felldeadbird  
       131 天前
    挺好的,有人给你做安全检查,还给你通知。
    Mrun
        32
    Mrun  
       131 天前
    @746970179 #20

    要么调用 gitlab 的 API ,下载项目代码压缩包,
    要么用 rsync ,同步到生产服务器,过滤掉.git 目录
    vvvvvvvv
        33
    vvvvvvvv  
       131 天前
    挨罚没毛病,我要是叔叔我也罚你
    28Sv0ngQfIE7Yloe
        34
    28Sv0ngQfIE7Yloe  
       131 天前
    @746970179

    指的是你把.git 也一起部署了,导致可以被扫描到吧。和生产环境有没有 git 没太大关系
    xR13zp0h67njQr2S
        35
    xR13zp0h67njQr2S  
       131 天前
    @746970179 不是不让同步到服务器,是正式环境出现了 git 文件夹,开发环境随便出现
    falcon05
        36
    falcon05  
       131 天前 via iPhone   ❤️ 1
    不用删除,不然依靠 git 更新的项目不方便,nginx 加条规则就行了。

    location ~ /\.git {
    return 404;
    }
    aihimmel
        37
    aihimmel  
       131 天前
    Chappako
        38
    Chappako  
    OP
       131 天前   ❤️ 3
    首先,感谢各位

    项目为个人项目,几乎无访问量

    项目代码放在 gitee ,为私有项目,版本库中不含敏感数据

    确实是直接 git clone 部署的,但 .git 目录没有暴露在公网

    之所以发帖,是想知道个人项目的安全是否需要叔叔来管,以及其他地方是否也有类似操作

    最后,各位提到的等保、ISO 、安全方面知识,我会去了解学习的
    zero47
        39
    zero47  
       131 天前
    @Chappako 能在外网访问的,叔叔就能管,不然为什么要你备案云主机
    artiga033
        40
    artiga033  
       131 天前 via Android
    首先确实是个入门级的安全问题,其次既然是备案的服务器,警方确实就有权利和义务扫漏洞并且要求整改,除非你是放自己家宽 ip 上的才真的叫“个人项目“,但是家宽的话运营商也有权管理
    belin520
        41
    belin520  
       131 天前
    支持,反正都是大家长的环境
    hafuhafu
        42
    hafuhafu  
       131 天前
    个人项目,你又说.git 目录没暴露到公网,那他们是用外部工具扫到的还是服务器上有啥工具?
    zackzergzeng
        43
    zackzergzeng  
       131 天前
    朋友没告诉你帮忙做的项目的安全等级吗?有点草率啊,能让叔叔出动的项目就随便分给外人了?
    falcon05
        44
    falcon05  
       131 天前 via iPhone
    @Chappako 既然没有暴露在公网,那就不是扫的,它是直接查看云服务器取证的,阿里云配合度这么好,赶紧卸载它的监控吧。
    evill
        45
    evill  
       131 天前
    个人项目? 他们怎么会知道你机器上有什么?
    Pierro
        46
    Pierro  
       131 天前
    通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码 好奇这一步怎么做
    zhch602
        47
    zhch602  
       131 天前
    @dylanqqt 微信支付宝这种国民 APP ,如果出现故障是会被 jc 追责的
    sagaxu
        48
    sagaxu  
       131 天前
    承德某单位发现了新的生财之道
    zhangeric
        49
    zhangeric  
       131 天前
    不都是当地网信办负责这事么?怎么还上警察了?难道之前网信办发通知你们没处理?
    kuaner
        50
    kuaner  
       131 天前   ❤️ 2
    是我理解错了,我以为是给政府做的项目,然后出的这种问题。

    意思就是自己的项目,丢在网上的,也被约谈了?可怕
    proxytoworld
        51
    proxytoworld  
       131 天前
    @dylanqqt 一般只管辖区内的公司
    proxytoworld
        52
    proxytoworld  
       131 天前
    @Pierro git 里面有完整的记录,可以用这个恢复源码,有开源代码做这个
    fank99
        53
    fank99  
       131 天前   ❤️ 1
    我觉得有点离谱,我个人项目的安全问题,跟叔叔有什么关系?
    例如阿里云来提醒我,我觉得没毛病,但是叔叔都扫盘了,凭啥?
    VYSE
        54
    VYSE  
       131 天前
    处罚决定书写的违反哪条?
    ivvei
        55
    ivvei  
       131 天前 via Android
    @zhch602 举个追责的例子?这几个并不是没出过事故
    lambdaq
        56
    lambdaq  
       131 天前
    项目文件夹中找到了 Git 的元数据目录(Git),还是服务器 URL 里可以访问 .git ?
    unco020511
        57
    unco020511  
       131 天前
    @746970179 就是把.git 文件夹也部署到网站了,用户可以直接访问
    nazhenhuiyi294
        58
    nazhenhuiyi294  
       131 天前
    没说清楚,是对外的生产环境能访问到 git 目录,这个挺低级的错误。这个配置下就好了呀
    zhw2590582
        59
    zhw2590582  
       131 天前   ❤️ 1
    还是不理解,自己的项目,为何他们这也要管?
    expy
        60
    expy  
       131 天前
    下载源码为什么会影响安全?
    guanzhangzhang
        61
    guanzhangzhang  
       131 天前
    很正常,.git 就不应该带出去,代码要是被人找到了逻辑 bug 被黑产搞了
    renmu
        62
    renmu  
       131 天前 via Android
    确认一下是否确实没暴露在公网,内网有.git 太正常了,是有一些组织会扫描暴露的危险内容从而发邮件提醒整改,基本上都是一个受欢迎的状态
    ndxxx
        63
    ndxxx  
       131 天前
    楼主 1 楼描述的不够清楚,但根据楼主 38 楼的补充,可以猜测一下楼主的部署方式:

    项目文件夹直接 git clone 起手 trigger 项目更新,然后 build 项目。nginx 类似的服务 service 配置指向了项目 build 后的位置。(这种部署方式当然不是 best practice )

    叔叔的警告操作非常离谱,半瓶水在那鸡毛当令箭呢。(阿里云默认的各种镜像有全盘扫描的特色进程。我猜测是扫到有.git 就会上报,然后根据备案归属地开放给当地的叔叔。)生财之道 +1 ,日常移民广告 +1
    iyaozhen
        64
    iyaozhen  
       131 天前   ❤️ 6
    楼主信息没说清楚呀,不知道是有意还是无意的
    正文里面说:”帮朋友做的项目,放在阿里云“
    评论里面说:“项目为个人项目”

    “直接 git clone 部署的,但 .git 目录没有暴露在公网”你这不是矛盾嘛 都在目录下了,不就能直接访问了(如果没配置啥规则)

    “个人项目的安全是否需要叔叔来管” 你个人项目肯定没人管你呀,叔叔哪那么多闲心

    “并提交了整改报告” 看着就是一个完整的报告漏洞修复漏洞的过程,这都是业务方要拿钱请人做的,是不是你朋友把项目部署到什么政府机关系统了,但是没经验又没做等保这些被甲方发现了。
    Chappako
        65
    Chappako  
    OP
       131 天前
    @iyaozhen #64 首先,感谢评论

    1. 正文中说『帮朋友做的项目』,评论中说『个人项目』,是因为有人提到是否政府项目,但该项目仅仅是朋友的个人项目而已

    2. .git 目录 /var/www/project1/.git
    nginx root 为 /var/www/project1/public
    所以无法公网访问到 .git 目录

    3. 叔叔确实下了《当场处罚决定书》,理由就是 .git 目录的存在

    4. 整改过程就是我删除了 .git 目录,《整改报告》是叔叔给的仅一页的范文,我帮着写完而已
    746970179
        66
    746970179  
       131 天前
    @unco020511 感谢, 有点明白了
    就是只要文件夹放到对应目录下, 就能外网直接访问的那种

    那有人说是 aliyun 扫服务器有 git 就上报, 感觉不太可能, git 应该是服务器上最频繁的 bin 之一了

    个人猜测, 是楼主说的" .git 目录没有暴露在公网" 这点存疑: 更像是自己觉得没有放, 但是实际上是可以访问的.
    hutoer
        67
    hutoer  
       131 天前
    @Chappako 网警是如何知道有个 .git 目录的,按你的描述是无法扫描到的
    proxytoworld
        68
    proxytoworld  
       131 天前
    @hutoer 肯定是可以公网访问到的
    uiosun
        69
    uiosun  
       131 天前
    没毛病,.git 敢丢到生产环境,这么蠢的事情,换我们之前的公司,别说开发人了,CodeReview 的人都要担责。

    蠢不是攻击谁,只是说做事太离谱,堪比把密码写在备注里。
    uiosun
        70
    uiosun  
       131 天前
    至于 OP 问的其他地方有没有。

    多数地方都有,我依稀记得,每个地方的部门,都有自己的参考,导致有些检测内容还是有差异的。
    icaolei
        71
    icaolei  
       131 天前   ❤️ 1
    @ZZ74 #23 我的 V“友” 你这个错别字和多打个字也“属于”非常严重的低级错误
    hokori
        72
    hokori  
       131 天前
    .git 怎么会到 build 我也很疑惑你们的部署过程
    iyaozhen
        73
    iyaozhen  
       131 天前
    @Chappako 那确实匪夷所思了

    这个修漏洞的操作是没问题,企业内天天很多这种工单
    但居然是叔叔给你发的漏洞“工单”,第一次见。因为这种漏洞太常见了,公司内部天天都好多,处理不完,叔叔一天能处理几个(虽然不要他修,但也得打电话、推进流程呀)
    falcon05
        74
    falcon05  
       131 天前 via iPhone
    如果不是通过公网扫描,而是直接调服务器里的监控,细想极恐。哪天把你数据库扫描一遍看看有没什么敏感信息。
    starryin
        75
    starryin  
       131 天前
    @Chappako #65 没暴露到公网是怎么被发现的,阿里云主机上有扫描工具自行通知了叔叔?
    bojackhorseman
        76
    bojackhorseman  
       131 天前
    @icaolei 搁着套娃呢
    ccc008
        77
    ccc008  
       131 天前
    楼主是不是用了宝塔面板呢
    hanierming
        78
    hanierming  
       131 天前
    没明白怎么查到的?.git 也不在网站的根目录啊?
    me1onsoda
        79
    me1onsoda  
       131 天前
    什么打包工具会把.git 打进去?用原生 js 写 html?
    ndxxx
        80
    ndxxx  
       131 天前
    @ndxxx #63 看了楼主 65 楼的描述,看起来是是被阿里镜像的安全类进程扫到了 /var/www/ 这种高危路径下的 .git 文件夹出发了某种上报机制。总体上符合一贯的家长管理特色模式,处理方式“现场训诫+整改”,依然离大谱
    Fca
        81
    Fca  
       131 天前
    谁能去阿里云去复现一下,这个会喝茶的 bug
    icaolei
        82
    icaolei  
       131 天前
    @bojackhorseman #76 我的 V 友,你“这”个错别字也是个非常严重的低级错误
    liqingyou2093
        83
    liqingyou2093  
       131 天前
    令人匪夷所思
    既然是个人项目和叔叔有什么么关系呢?
    有漏洞也是个人的服务的漏洞, 泄漏也是个人的数据, 和叔叔有什么关系呢?
    yhxx
        84
    yhxx  
       131 天前   ❤️ 2
    我不理解

    别说楼主说.git 目录并没有放在公网,就算是放了,极端一点,我把我自己的服务器完全公开,违反什么法规吗?
    轮得到他们来管?

    你可以提醒我注意安全防护,但是训诫就有点离谱了吧?
    而且你从哪得知我的这个安全漏洞的?获取这个漏洞的渠道合法吗?
    gadfly3173
        85
    gadfly3173  
       131 天前 via Android
    @Chappako 放在/var/www 这种地方,你真的确定你没有类似于 nginx 的默认服务之类的东西可以访问到这个么?
    Chappako
        86
    Chappako  
    OP
       131 天前
    @ndxxx #80 感谢多次回复

    应该就是你 #80 所说的情况了

    因为是 php 项目,不需要 build ,而域名又是直接指到了 /var/www/project1/src/public 类似这样的目录,所以 .git 不会暴露

    应该是触发了某种机制
    但以前在各种云同样的做法又没有触发过

    也算是得到教训了
    如楼上大家的回复,不管怎样,我自己确实需要学习了
    Chappako
        87
    Chappako  
    OP
       131 天前
    @gadfly3173 #85 感谢回复

    我很确定通过域名或者 IP 是不能访问到 .git 目录的
    Chappako
        88
    Chappako  
    OP
       131 天前
    @liqingyou2093 #83
    @yhxx #84

    感谢回复

    其实,我也是有类似的疑问才会发帖咨询大家
    kcerty
        89
    kcerty  
       131 天前
    @yhxx 暴露公网就会管。楼主绝对是暴露公网了,不暴露公网随便搞
    yhxx
        90
    yhxx  
       131 天前
    @kcerty

    找到了,还真有规定,也算有法可依,是我错了


    中华人民共和国网络安全法

    第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改

    第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。


    网络产品安全漏洞管理规定

    第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

    (一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

    (二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

    (三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

    第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

    第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。

    第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
    atpex
        91
    atpex  
       131 天前
    @yhxx 我也不理解,个人的项目精哥没道理管的吧,处置自己的“项目/数据/隐私”不是自己的权利吗?也没有执法依据,也看不出来违了哪条规。要么是 OP 没说全,要么我是外宾。
    wanwusangzhi
        92
    wanwusangzhi  
       131 天前 via iPhone
    服务器安全和他们有毛关系 被黑也和他们不相关
    li746224
        93
    li746224  
       131 天前
    不能理解,只要不暴露到公网就应该没问题啊。
    sampeng
        94
    sampeng  
       131 天前
    现在北京叔叔确实就干这个事。什么防火墙有漏洞啊,什么开了 22 端口啊,什么像 lz 说的.git 啊。。我都碰到过请喝茶的事。。
    sampeng
        95
    sampeng  
       131 天前
    其实这个逻辑我挺能理解的。。。。这个世界就是一个草台班子构成的。网络安全造成了大量的经济损失(肉鸡,挖矿)。然后呢,各个公司的安全又如同儿戏。就是在很多人眼里都知道是常识的,但就是有海量的公司压根不在乎也懒得搞。有几个公司有安全部门的。都是网管或者运维搞搞。所以呢,叔叔们就对自己辖区的企业进行网络安全扫描。这也挺合理的,只要你开公网,你就要备案。你一定会被划分到某个辖区的网警部门。他们有权对安全进行一些初级检查
    her999
        96
    her999  
       131 天前
    警察要么显示一下自己的存在感,给自己找点业绩,要么可能想学习承德同行,找到创收渠道。
    如果不认同这种管理,那么建议还是慎用国内的 vps 和 gitee ,尤其是个人项目,用这些东西,不是给自己添堵吗?
    sorcerer
        97
    sorcerer  
       131 天前 via Android
    你确定你的代码没有目录穿越访问的漏洞?
    kk2syc
        98
    kk2syc  
       131 天前
    1. D 监控扫盘
    2. KPI
    cppgohan
        99
    cppgohan  
       131 天前
    "当场训诫" 是什么意思? 面对面上门批评了?
    kkwa56188
        100
    kkwa56188  
       131 天前
    前几楼 把我整不明白了, 后面慢慢才有人反应过来, 这里应该讨论的顺序应该是:
    1. 这叔叔也管?
    2. 阿里云那边怎么上报?
    999. .git 目录有技术风险.
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1441 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:07 · PVG 01:07 · LAX 09:07 · JFK 12:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.