这是一个创建于 1466 天前的主题,其中的信息可能已经有所发展或是发生改变。
2020 年 11 月 17 日上午 11:56,小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《小米集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。
有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
 |
1
wtks1 2020-11-17 14:39:57 +08:00 via Android  3
是不是在内网用 frp 之类的内网穿透工具把端口映射到他自己的服务器了?记得之前有这样的案例
|
 |
2
ghostsf 2020-11-17 14:44:45 +08:00
内网穿透的吧- -
|
 |
3
taobibi 2020-11-17 14:44:54 +08:00
还有一种可能是他买了个向日葵或者蒲公英的盒子
|
 |
4
vone 2020-11-17 14:45:22 +08:00 1
映射的 RDP 端口吧。
|
 |
5
wudidangteng OP 看来内网穿透的可能性很大 - - 。估计他自己都不知道会这么严重吧
|
 |
6
kiracyan 2020-11-17 14:47:38 +08:00 1
公司内网自己乱搞就是作死
|
 |
7
CODEWEA 2020-11-17 14:48:11 +08:00 1
不冤
|
 |
8
imn1 2020-11-17 14:48:50 +08:00
移送司法处理
想知道这算渎职还是其他什么? |
 |
9
CallMeReznov 2020-11-17 14:49:46 +08:00 5
偷偷做映射图方便的多了去了,讲白了还是自己安全意识低,知道外网访问危险性高映射出去就得加强密码还有服务安全性。
这映射出去就被人干一般问题都在于自己。 |
 |
10
luckyrayyy 2020-11-17 14:50:38 +08:00
我也差点有这个想法....frp 穿透出去,担心作死就没敢行动
|
 |
11
guixiexiezou 2020-11-17 14:55:29 +08:00
猜测 1: 公司没有禁止外网访问,没有做特别明显的内外网区分
猜测 2:该实习生使用了内网穿透工具,例如 frp, 或者使用了类 VPN 软件,例如 V2ray,并极大可能开启远程桌面功能。 感觉很奇怪,不做完整的内外网隔离的话,就算不主动开端口,也会被其他人入侵到吧 |
 |
12
Cielsky 2020-11-17 15:00:09 +08:00 via Android 2
安全意识太低了吧。
偶尔也能在这里看到有人问如何绕过公司的各种限制,都是在给自己挖坑 |
 |
13
opengps 2020-11-17 15:03:40 +08:00
这种滥用行为其实很常见
|
 |
14
mrzx 2020-11-17 15:04:55 +08:00 4
frp 吧,或者向日葵之类的。不需要权限
我们公司,我就抓到几个。。。 反正有胆你就用,你既然用了,就要把服务器安全做好,只要不出事,那不会找你麻烦。 但是,你非要图方便,服务器安全你又自己没做好,又被人黑了,影响公司,那你就准备被开除吧。 反正我已经发通告给全公司员工,警告过了~ 我的原则很简单,我不让你们用,如果在有人偷偷用,出了事,铁定你背锅就行。。。 |
 |
15
comsweetcs 2020-11-17 15:05:19 +08:00
啧啧啧
|
 |
16
Xillusion 2020-11-17 15:05:23 +08:00 32
我见过最狠的,拿公司科学上网线路开内网穿透给家里用。
|
|
17
wudidangteng OP @Xillusion 这就离谱
|
 |
18
StrorageBox 2020-11-17 15:16:11 +08:00
不冤,我厂也一样
|
 |
19
37Y37 2020-11-17 15:26:17 +08:00
这个不冤
|
 |
20
NoirStrike 2020-11-17 15:28:00 +08:00
龟龟...直接映射服务器, 都这么凶的吗...
映射下自己用的电脑, 再远程下, 不也挺好的嘛 |
 |
21
boris93 2020-11-17 15:41:26 +08:00 via Android 2
@NoirStrike #20 公司内网甭管啥机器,私自映射出去就是安全问题
外网连入公司网络的唯一解就是通过公司的 VPN |
 |
23
HFX3389 2020-11-17 15:49:46 +08:00
那么问题来了,FRP 映射 RDP 端口要做什么安全防护?
|
 |
24
Smash 2020-11-17 15:52:14 +08:00
入职培训一般会有安全这块的讲解,红线是不能碰的。
|
 |
25
AlynxZhou 2020-11-17 15:53:14 +08:00 11
当代迷惑:用 frp 连内网服务器,用 vpn 番茄(
|
 |
26
zhanao1994 2020-11-17 15:54:43 +08:00 via Android
经常看到在公司玩内网穿透的,活该开除
|
 |
27
xuanbg 2020-11-17 15:57:07 +08:00
访问公司内网 VPN 不香吗?公司没有 VPN 吗?
|
|
30
mrzx 2020-11-17 16:11:23 +08:00 3
@ihipop 很简单啊,frp 应用层识别啊。。。。我们有专业的设备和系统,所有公司流量都要从这些设备通过。甚至公司谁经常访问猎聘,51job,通过拆开 7 层报文,分析 url 就可以生成一个报表,谁最近访问这些网站数量和次数最多。。。
|
 |
31
fangcan 2020-11-17 16:16:28 +08:00
@guixiexiezou 请教下 本地开启了 v2ray 客户端,也属于内网穿透么?
|
|
35
mrzx 2020-11-17 16:21:02 +08:00
@lewis89 2014 年左右,我在苏宁干过一段时间,整个苏宁访问外网必须通过代理。。。。那些运维每天的乐趣是在代理的日志里做数据挖掘找乐子。。。。
|
 |
36
lewis89 2020-11-17 16:21:51 +08:00
@fangcan #31 内网穿透是把内网的访问权限 暴露到其它网络了,这种才叫内网穿透,一般是 C 类地址的访问权限被人放到公网上 或者其它 C 网 可以通过路由 访问你的 C 网
|
 |
37
vfxx 2020-11-17 16:22:08 +08:00
那位大佬可以分享下 《小米集团员工行为准则》和《员工信息安全规范》,我也想学习下,参考类似规定在自己公司发布。(网上没搜到) 我身边已经不少于 3 个朋友用 FRP 被黑了,损失惨重。
|
 |
38
Fizzyi 2020-11-17 16:23:50 +08:00
请教一下各位,如何在保证安全的情况下 能够在家里链接到公司的电脑呢
|
 |
39
wanguorui123 2020-11-17 16:28:08 +08:00
防火墙 + 防火墙证书 = 网络行为监控
|
 |
41
onice 2020-11-17 16:29:04 +08:00
这波不怨。按照信息安全相关条例,该咋处理就咋处理。
|
|
42
lewis89 2020-11-17 16:30:30 +08:00
@vfxx #37 可能他们没搞清楚 frp 的真正用途,这玩意本来就不是给你们用来做映射暴露重要未鉴权的服务用的,我用 frp 的唯一目的是为了让 openvpn 能用公网访问,不过 openvpn 的性能确实捉急
|
 |
43
dbpe 2020-11-17 16:35:39 +08:00
问题来了..我用 frp 做点对点映射 maven 和 git,如何优雅的安全的映射
(不想半夜起来去公司改 bug |
 |
44
Macv1994 2020-11-17 16:38:59 +08:00
我使用公司电脑使用 SSH SFTP 连接自己的服务器没问题吧?
|
 |
45
Daybyedream 2020-11-17 16:53:05 +08:00
挂 VPN 不香么
|
|
46
guixiexiezou 2020-11-17 16:53:33 +08:00
@fangcan 不算,但属于类 VPN 了,同样存在和 frp 一样的问题
|
 |
47
fanfpy 2020-11-17 17:03:20 +08:00
吓得我立马把 zerotier 卸载了
|
 |
49
Sapp 2020-11-17 17:06:01 +08:00
小米不提供 vpn 的吗?
|
 |
50
felixin 2020-11-17 17:07:28 +08:00 via Android
frp 怎么才能安全呢
|
 |
51
nznd 2020-11-17 17:07:46 +08:00
提问 把家里的电脑远程桌面映射出去 公司网络 rdp 连回来 有危险吗
|
 |
53
Varobjs 2020-11-17 17:20:28 +08:00
不会玩内网穿透也是好事,😄
想绕过公司网限制,那就手机热点 |
 |
54
u6pM63mMZ34z32cE 2020-11-17 17:25:57 +08:00
那么问题来了, 使用 frp 怎么保证安全呢?
|
 |
56
annielong 2020-11-17 17:29:52 +08:00
正确的方法是登 vpn,然后登远程
|
 |
57
nannanziyu 2020-11-17 18:09:11 +08:00 via Android
@guixiexiezou
@fangcan 看你怎么用了,v2ray 也有 dokodemo-door 协议来实现反代内网端口 frp 现在任何一个网关防火墙都能直接识别,v2ray 的藏在 vmess / vless 后面,识别不到 |
 |
58
bk201 2020-11-17 18:33:33 +08:00
搞 ai 的一般是搞算法的,貌似对这种事情不太了解
|
 |
59
tuding 2020-11-17 18:39:50 +08:00 via Android
好奇问一下,这个事情运维有锅吗?
|
 |
61
kassadin 2020-11-17 18:52:03 +08:00
 曾经用 frp 暴露了一个 jenkins 也被挖矿了,不做服务器确实安全意识不够 |
 |
62
redtea 2020-11-17 18:58:30 +08:00 via iPhone
不知道用 ngrok 算不算?
|
 |
63
mxalbert1996 2020-11-17 18:59:27 +08:00 via Android
所以说我一直在推荐这个
https://github.com/slackhq/nebula |
 |
64
mangoDB 2020-11-17 19:00:27 +08:00
大概率用了 frp
|
 |
65
Bootis 2020-11-17 19:08:20 +08:00
frp 暴露 v2ray 端口,再通过 v2ray 连接应该会安全得多吧
|
 |
66
dropsio 2020-11-17 19:08:50 +08:00
干前端的我,懵逼中带着些许心虚....
|
 |
67
s609926202 2020-11-17 19:10:24 +08:00 via iPhone
内网穿透?我做过一种是路由器端口映射,到电脑上,不知道安全不安全
|
 |
68
glfpes 2020-11-17 19:20:58 +08:00
实习生刚刚踏入职场,没有职业意识很正常。把公司当自己实验室了瞎折腾。
小米肯定入职培训时讲过这种事不要做,类似的包括代码别传 github 等等。 如果被扫描器发现内网穿透最多就是通知一下,现在这个阵势肯定是这个口子被人用来破坏了。 |
 |
69
f165af34d4830eeb 2020-11-17 19:34:53 +08:00
V2 月经贴:我偷偷搭的 frp 被人橄榄了,导致公司损失,我该怎么办?
这就不是技术问题。 |
 |
70
TesterCC 2020-11-17 19:37:40 +08:00
"私自将公司内网端口映射到公网"看起来只是违规操作,但是具体映射原因没有说明,不好评论。导致“不法分子入侵公司服务器”,这个就严重了,虽然说直到被不法分子入侵后才发现这件事说明内网监管方面也有不足,但要给上面交代的话,肯定溯源到这个实习生,然后相关负责人大概也有不同程度的处理措施吧。
|
 |
71
hand515 2020-11-17 19:38:17 +08:00 via Android
用 stcp 就可以了吧
|
 |
72
mostkia 2020-11-17 19:45:12 +08:00
出门在外就得规矩一些,最忌讳的就是什么都不知道就乱搞,公司内网不是自己家庭院,出问题就不是小事情。不管是不是你导致的,你用了这类软件,屎盆子都可以扣你头上,而且有于你一知半解的用了这种软件,解释都解释不清。
|
 |
73
justin2018 2020-11-17 19:48:17 +08:00
@mrzx 啥设备 深信服?
|
|
74
mostkia 2020-11-17 19:49:00 +08:00
@HFX3389 一般来讲一个强密码就能搞定了,被搞的往往连这点最基础的安全意识都没,否则也不会在公司内网作死,可能密码还都只是 123456 这类的
|
 |
75
younghust 2020-11-17 20:06:36 +08:00
不会玩不要在公司玩,损失很大的
|
|
76
dbpe 2020-11-17 20:20:35 +08:00
@mxalbert1996 大佬安利一波?粗看了下..好像是用 TLS 来做协议传输的
|
 |
77
GrayXu 2020-11-17 20:25:02 +08:00
实习时候公司的训练机器直接在路由上 ban 了所有外网请求,然后有需求都走内网镜像。。。
要是搞了生产的机器,那直接就有经济损失了,真敢… |
 |
81
infun 2020-11-17 20:51:15 +08:00
刚工作那会干过这事,第二天想起来立马关了
|
 |
82
nmecury 2020-11-17 20:54:46 +08:00
这种应该是想在家里上公司的 GPU 机器跑实验吧……还有我理解移送公安机关的涉案人员应该是指入侵者
|
 |
83
benmaowang 2020-11-17 21:31:36 +08:00
frp 内网点对点,不暴露端口到公网应该是安全的吧
|
 |
86
Liyiw 2020-11-17 21:37:25 +08:00
这。。。在学校实验室的机器上开 frp 会不会被学校干。。有点慌
|
 |
88
Ekid 2020-11-17 21:46:05 +08:00
为啥不用堡垒机.我们单位因为业务问题经常需要第三方供应商的技术人员支持,都是用堡垒机远程进来的,需要远程办公的话我自己也从堡垒机进来
|
 |
89
eastern 2020-11-17 21:56:51 +08:00
之前不是有帖子也是用 frp 反代出去然后被勒索了吗。
|
|
90
2n80HF9IV8d05L9v 2020-11-17 22:00:30 +08:00 via Android
如果我只开 ssh 的公钥访问,是不是就一定安全了
|
 |
91
pydiff 2020-11-17 22:02:41 +08:00
感觉你们都好专业,不过我自己的经历是随便开映射,都是用强密码,三年多了,啥事都没有,为啥他们的就那么容易被黑呢
|
 |
92
myd 2020-11-17 22:04:19 +08:00
内网穿透很危险
|
 |
94
huigeer 2020-11-17 22:25:01 +08:00 via iPhone
用向日葵属于违规嘛
|
 |
95
wslzy007 2020-11-17 22:38:09 +08:00 3
这事嘛,和设置的密码强度无关,系统漏洞,软件漏洞等都是直接秒的!
不要将内网映射到外网端口! 不要将内网映射到外网端口! 不要将内网映射到外网端口! |
 |
96
zmxnv123 2020-11-17 22:39:31 +08:00
想当年我实习生涯也无知的这么干过,只能谢当年黑客不杀之恩。
|
|
97
mxalbert1996 2020-11-17 22:44:59 +08:00 via Android
@dbpe 这个无论是性能还是安全性都完爆 frp 之流。性能方面,frp 完全就是端口转发,速度受限于服务器,而 Nebula 只有最初建立连接时要通过服务器中转,连接建立了以后通过 UDP 打洞直接通信。安全方面,基于证书,比密码安全得多。
|
|
98
wtks1 2020-11-17 22:46:53 +08:00 via Android
@mxalbert1996 frp 也有点对点模式的....
|
 |
100
cjq8z 2020-11-17 23:00:58 +08:00 via Android
公司电脑就当成公司电脑使用,一律不处理个人私人事物。拿来处理个人私人事物就是职场小白。
拿公司电脑搞自己私人事情,最大的风险是泄密,不出事还好,出事就是你背锅了。 按公司流程走,出事了还有领导背锅、相关不同部门背锅,大家都有责任,一般就是大事化小,小事化无。 不按公司流程走,出了问题,你就背锅了。 |
Select Language