今天下午,友商的同学突然发了个确认信息过来,让我们确认一下服务器的归属。然后就抛出了个大新闻:我司服务器存在问题,所有文件都可以任意访问。根据对方反映的信息,确认是之前玩票性质的一个项目:avalon出了问题。https://github.com/ejoy/avalon/blob/master/lualib/staticfile.lua#L12-L17 这里没有做输入检查,就直接使用io.open了。
另外一个地方,是因为这个项目的玩票性质,所以SA同学随便找台空的服务器丢上去了,而且还用了根用户,于是所有文件都泄露了。。。本来这个也问题不大,avalon的代码本来就是开源的,但是这台空闲服务器是测试服务器之一,于是上面还有几个私钥。。。简直是墨菲定律的绝佳例子!友商的原话:“遍历了ssh私钥、hosts文件、passwd文件、shadow文件、crontab文件、iptables文件、bash_history文件等。”触目惊心=_=|||
经过这次事件后,希望能够对docker的推广起到推动作用。通过虚拟化实现应用间隔离,web应用输入检查要做好,外网服务器不存放私钥。还有相应的一套管控体系,包括用户登录行为检测,登录ip异常告警(非内网ip登录)等等。。另外就是,其实没必要自己撸代码啊,撸也只要撸业务层就好,静态文件交给nginx啊喂…………
原文:http://www.cnblogs.com/Lifehacker/p/web_unauthorized_access_bug.html