这是一个创建于 1254 天前的主题,其中的信息可能已经有所发展或是发生改变。
2020 年 11 月 17 日上午 11:56,小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《小米集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。
有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
 |
101
shoreywong 2020-11-17 23:19:27 +08:00 via iPhone
太可怕了 还好我去不了小米
|
 |
102
hellocy 2020-11-17 23:30:42 +08:00 via Android  5
AI 让员工帮它逃出内网 ᥬ😂᭄
|
 |
104
longbye0 2020-11-17 23:37:17 +08:00 6
感觉小米没 vpn
我几乎可以猜测这位 ai 实习生是为在家炼丹和转发 tensorboard 端口 |
 |
105
mxalbert1996 2020-11-17 23:37:47 +08:00 via Android
@wtks1 那我还真不知道,稳定吗?
|
 |
108
ZoeChelsea 2020-11-18 00:19:53 +08:00 1
@longbye0 有 VPN,不用猜了
|
 |
109
pusheax 2020-11-18 00:27:01 +08:00 1
只开个 3389,最好绑定到某个高位端口。非默认用户名+强密码。这基本上就不可能被打了。
RDP 本身就出过一个漏洞,被打下来都是弱口令。 |
 |
110
chiu 2020-11-18 00:27:40 +08:00
frp 之类的不需要很大权限, 能 ping 到外网就能玩
|
 |
111
tankren 2020-11-18 07:41:08 +08:00 via Android
应该很多公司都会紧急培训 IP 课程和重新学习公司规章
|
 |
112
MikeFeng 2020-11-18 07:42:41 +08:00 via Android 2
不讲码德
|
 |
113
xuewuchen 2020-11-18 07:53:27 +08:00 1
这实习生是实习的网管么。。否则那会有这么大的权限。。正常员工连设置页面都上不去。。还设置个毛
|
 |
114
mingl0280 2020-11-18 08:04:09 +08:00
这显然是违规的,frp 之类的拉到外网了,然后被人直接从外网给打了……
真是脑子进水不知道几吨才这么搞…… |
 |
115
lewis89 2020-11-18 08:17:45 +08:00
@xuewuchen #113 端口映射,可能没有给实习生 VPN 权限,算是正常操作吧,有的公司 VPN 内网没人管边界,可能 VPN 内网可访问的范围很大,所以没敢给实习生开通,结果就酿成这种悲剧了,其实应该普及一下 OpenVPN 的,奈何天朝对这个十分敏感..
|
 |
116
billwang 2020-11-18 08:30:03 +08:00
难道内网和公网是物理联通的?那还叫啥内网,干脆叫办公网或企网得了。
|
 |
117
sth2018 2020-11-18 08:37:18 +08:00
这些疑问建议去问小米员工,人家公司的事当然他们最清楚了。
其他人全靠猜。 |
 |
118
madpecker009 2020-11-18 08:41:06 +08:00
@Xillusion 很牛批
|
 |
120
HFX3389 2020-11-18 08:58:19 +08:00
@ihipop #119 HTTPS 也可以搞中间人呀,很多公司的电脑的根证书信任不都有公司的根证书用来解密 HTTPS 的吗
|
 |
121
zjsxwc 2020-11-18 09:03:38 +08:00
这是发现服务器被黑了才曝光的,服务器没被黑的话估计就没这实习生什么事情。
|
 |
123
zxyangyu 2020-11-18 09:59:21 +08:00 1
emmm 话说原来搞模型部署测试的时候,也干过这个事情,只是没人惦记
|
 |
124
nmap 2020-11-18 10:09:55 +08:00
frp+强密码有问题不?
|
 |
125
Williamwang 2020-11-18 10:15:28 +08:00
@qoras #106 我也觉得有可能
|
 |
126
knightdf 2020-11-18 10:36:36 +08:00
frp 只转发到 ssh 端口(只能私钥登录)的应该没事吧?
|
 |
127
yy77 2020-11-18 10:42:54 +08:00
这位实习生至少要有公司防火墙的管理员权限才行。
|
 |
128
pythonee 2020-11-18 10:47:28 +08:00 1
不要在公司电脑上处理个人事务
不要私自变更公司电脑防火墙、攻击网络 |
 |
129
mm2x 2020-11-18 10:52:00 +08:00
我都是家里 NAS 架设 Frps 只映射一个连接端口 然后 Frpc 不做端口映射 使用的时候直接内网地址管理 在外面需要的时候 VPN 回家。。感觉还是挺安全的。。估计这哥们用了免费的 frps 之类的东西。。怨不得别人。。
|
 |
130
daquandiao2 2020-11-18 11:31:18 +08:00
@mrzx #30 可以查看微信记录吗
|
 |
131
no1xsyzy 2020-11-18 11:32:42 +08:00 1
我只开单位穿回家里的,不开家里穿到单位的
明面上说是为了网络安全 其实是摸鱼可以,远程加班不行 |
 |
133
yueryuer 2020-11-18 11:38:14 +08:00
想请教下,做微信小程序本地开发这种,使用内网穿透工具安全吗,如果不用内网穿透工具应该如何方便的调试
|
|
134
no1xsyzy 2020-11-18 11:41:48 +08:00
@lewis89 #33 #30 的话可以 SNI 嗅探,HTTPS 也能拿到域名。
(强行 OSI 模型应该算 5 层 session 层) 至于 FRP 不加 TLS 没意义,加了 TLS 的话不清楚 FRP 的 ALPN 是啥,单独的话握个手求个 ALPN 就清楚这是啥服务了 |
 |
135
VZXXBACQ 2020-11-18 11:44:55 +08:00
请问一波,我购买了内网穿透服务(其实就是一个端口映射和 FRP 差不多,服务商可信),转发了 ssh 端口(只能公钥登录),RDP 强密码(只能用 MS 账号登陆)和 6666 端口(无服务,平时用来调试 web 的)。会被橄榄嘛?
|
|
136
VZXXBACQ 2020-11-18 11:45:17 +08:00
当然这几个都是我家的,公司不敢
|
 |
137
Rheinmetal 2020-11-18 11:56:48 +08:00 1
@VZXXBACQ 个人被盯上可能性小一点但是开放公网就会被扫漏洞 没有万事大吉 有一个就是倒霉
|
 |
138
ScepterZ 2020-11-18 12:00:56 +08:00
实习生有 vpn 的啊,这就是个觉得自己很会玩作死玩脱的呗,大家讨论的太发散了……
|
 |
139
boris93 2020-11-18 13:28:41 +08:00 via Android
@bclerdx #85 那不也是 VPN ?除了协议不一样之外
而且我之前待过的一家单位就是用深信服 SSL VPN,感觉体验不太好 |
 |
140
feast 2020-11-18 13:36:49 +08:00
FRP 这种跟公网直接暴露基本没区别了,不是很清楚很多人滥用这玩意儿的原因,可能知名度高吧
|
 |
141
jzmws 2020-11-18 14:00:00 +08:00
估计是用 类似 蒲公英这样的东西
|
 |
142
tedmosby 2020-11-18 14:15:45 +08:00
感觉像内鬼。
|
 |
145
dbpe 2020-11-18 15:50:40 +08:00
@mxalbert1996 UDp 打洞受制于 NAT 网络类型的吧,基于证书的可以...研究下
|
 |
146
w99wjacky 2020-11-18 16:36:47 +08:00
我见过的一个国内的“免费”frp 工具
配置文件里就有的远程桌面的端口设置 这个“免费”软件就是用来杀**猪的 比如这个:www 。chuantou 。org/frp-page tcp 端口 3389 默认就有这个配置 谁用谁悲剧 |
 |
147
mxT52CRuqR6o5 2020-11-18 16:40:58 +08:00
我就算认为自己有足够能力保证安全也不会这么做,给自己增加风险
|
 |
148
DoctorCat 2020-11-18 16:50:02 +08:00
公司不让干的事情就不要干,例如未经授权做外网访问办公内网的事情,这不是技术范畴了。
用技术取巧的方式给公司带来的损失,那始作俑者不负责谁来负责?雷布斯负责么? |
 |
151
fdoctor00 2020-11-18 17:38:28 +08:00
我好奇的是怎么被发现然后被入侵的
|
|
152
mxalbert1996 2020-11-18 18:28:56 +08:00
@dbpe 打洞不成功会自动 fallback 到中转,稳定性是有保证的。
|
 |
154
yuruizhe 2020-11-18 19:50:40 +08:00
公司都有 VPN,为啥要映射出去呢? ssh 直连服务器?
|
 |
155
MineDog 2020-11-18 19:56:16 +08:00
平时会用 ssh 隧道连接内网的 mysql,算不上述情况啊,也会有危险?
|
 |
156
yanzhiling2001 2020-11-18 19:59:41 +08:00
一直都用 stcp 模式
|
 |
157
1if5ty3 2020-11-18 23:02:20 +08:00
看大家这么一说,虽然不用 frp,但也有点虚。
赶紧加强 nas 密码,关闭无关映射。 |
|
158
feast 2020-11-19 03:38:53 +08:00 via Android
@biguokang FRP 这玩意儿按道理讲根本不配称什么内网“穿透”,反弹 shell 隧道这种名字估计才能引起这些人的警惕
|
 |
159
la9998372 2020-11-19 09:51:11 +08:00
真人真事,是我实验室同学室友的男朋友。。。事情挺严重的,好像已经抓起来了,要坐牢。
|
 |
164
Sp4ce 2020-11-19 15:08:45 +08:00
国内很多企业的内网可以说不设防的,哪怕划好 ACL 都不会出太大问题,这位实习生大概率是 FRP 做了穿透导致攻击者通过他的跳板机攻击了公司内网,至于怎么查的,一般互联网企业都会有类似于 IDS 、IPS 、态势感知类的安全设备,对于 FRP 等穿透类应用可以做到精准识别,但是出口防火墙一般是不会做相关策略去 BAN 这些协议,也怕误伤
|
|
165
xuewuchen 2020-11-20 09:08:29 +08:00
@lewis89 之前做过一阵时间的网络管理,可以很明确的说,这种情况就是小米自己的网络管理有问题。这种情况可能是这个人远程办公之类的,将电脑开通了 VPN,然后他可以在外网通过 VPN 连接到这个电脑,而这个电脑在公司网内。
如果有人通过 VPN 连接到了他的电脑,就可以通过它的电脑访问内网了。 但是如果是单纯的端口映射,是不应该有这个权限的。 |
|
166
dbpe 2020-11-21 00:05:08 +08:00
@mxalbert1996 我晚上试了下...大概知道了是什么类型的了(VPN)..不过如果我想让我本机的服务暴露出去(微信等开发的联调),貌似这个工具还不能直接做到..需要类似 nginx 的转发...可以这么理解么
|
|
167
mxalbert1996 2020-11-21 06:53:19 +08:00 via Android
@dbpe 能做到,在 config.yml 的 inbound 部分设置。
|
|
168
dbpe 2020-11-22 10:41:35 +08:00
@mxalbert1996 希望大佬能指点下.... inbound 我的理解就是入站..具体到那个节点...是不知道的吧,难道会在全节点广播?
|
|
169
mxalbert1996 2020-11-22 23:40:48 +08:00 via Android
|
|
170
dbpe 2020-11-23 08:42:16 +08:00
@mxalbert1996
我举个例子 ` inbound: # Allow icmp between any nebula hosts - port: any proto: icmp host: any ` 这里的 host 我认为是入站来源的 Ip....那么设置成具体的 Ip 的,那么应该只允许这个 ip 的请求,那么转发不应该是这里把? 应该在 outbound 里面吧? |
|
171
mxalbert1996 2020-11-23 10:58:39 +08:00 via Android
@dbpe 出站规则默认就是全部允许,也没有必要限制。我不知道你说的转发是什么,这里不存在什么转发,就是一个适用于 Nebula 内网的防火墙而已,默认规则只允许 ICMP 协议(也就是 ping )入站,你自己增加你需要的协议和端口(或者你想省事的话也可以允许所有)以后就可以从别的节点连这台机器了 。
|
|
172
mxalbert1996 2020-11-23 11:01:22 +08:00 via Android
@dbpe 另外 host 并不是 IP,这在配置文件的注释里都有。
|
 |
173
wslzy007 2020-11-23 11:27:01 +08:00
省省吧。。。穿透都开放端口到外网了,逻辑上讲和裸奔没啥区别,要不防火墙用来干嘛的?
1 、tob 直接使用 vpn,主要是可控,任何企业都不希望未经允许的网路访问。 2 、toc 最好是“内网”到“内网”的模式,一定不能在外网开任何访问口子(各种教训还不算惨痛吗)。须做到只有自己能随时使用自己私有网络(或者点对点的授权他人访问) 或许是时候试试新的玩具了,sg 了解一下: github.com/lazy-luo/smarGate |
 |
174
cnonymous 2020-12-02 04:27:39 +08:00
我就是用 frps 把公司的网络映射到公网的人... 刚刚赶紧把路由器上的 3389 关了。
|
 |
177
UchihaJay 2020-12-13 11:20:44 +08:00
我只关心是工具的 bug,还是自己安全意识不够,还是说开放的服务本身没有防护。
如果是工具 bug 这就很危险了,frp 这些都可能中招,如果是安全意识不够或者服务本身的问题,比如 rdp,下一条新闻吧。 |
 |
178
linux007 2021-01-21 11:40:27 +08:00
@dbpe @mxalbert1996 认真地问一下,这次事件跟 nubul.a 有关系吗?
|
|
179
mxalbert1996 2021-01-21 21:49:12 +08:00 via Android
@linux007 不知道你在说什么。
|
 |
180
jinsongzhao 2021-03-02 10:13:19 +08:00
员工用向日葵, frp,包括 QQ 无人值守远程桌面,这些都太容易操作了, 设置个复杂密码,就自己用,也没法管.被开除, 关键是,导致不法分子入侵,既然都证明是不法分子, 说明监控到下载重要文件到外网使用了, 而且不是本人.
|
 |
181
openp2p 2021-12-03 16:30:13 +08:00
把内网端口映射到公网是非常危险的,相当于开了一扇门。出事了,不法分子是否通过那扇门进来的并不重要。反正屎盆子会被扣上
|
Select Language