这是一个创建于 398 天前的主题,其中的信息可能已经有所发展或是发生改变。
帮朋友做的项目,放在阿里云
前些天收到吉林东少数民族州叔叔的处罚决定书,执行方式为当场训诫,并要求整改
原因是,项目文件夹中找到了 Git 的元数据目录(Git),攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码
目前已删除项目下 .git 目录,并提交了整改报告
想问一下,其他地方也有这种操作么
前些天收到吉林东少数民族州叔叔的处罚决定书,执行方式为当场训诫,并要求整改
原因是,项目文件夹中找到了 Git 的元数据目录(Git),攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码
目前已删除项目下 .git 目录,并提交了整改报告
想问一下,其他地方也有这种操作么
 |
1
opengps 2024-08-21 09:28:46 +08:00  7
这样挺好
如果做过等保的话,很多这种小细节都会要求改掉,本来黑客技术就是综合利用了一些很小的漏洞来实现了很大的危险 |
 |
2
1rv013c6aiWPGt24 2024-08-21 09:29:31 +08:00 via Android 1
这不挺好的?
|
 |
3
pfffs 2024-08-21 09:30:59 +08:00
很多人把密钥之类的敏感信息也提交到 git ,确实不太安全
|
 |
4
kuaner 2024-08-21 09:31:18 +08:00 18
这种属于非常严重的低价错误
|
 |
5
bluehr 2024-08-21 09:31:45 +08:00 2
想问一下,其他地方也有这种操作么
这个操作很正常,这已经是入门级的网络安全题目了,比如 CTFHUB 里面的入门课程  |
 |
6
huzhizhao 2024-08-21 09:32:02 +08:00
看当地要求
我上家,做等保的时候也没有要求这些 |
 |
7
ZGame 2024-08-21 09:36:44 +08:00
又没罚钱 我感觉没啥问题吧..
|
 |
8
cominghome 2024-08-21 09:37:07 +08:00
合理,该整改就整改。个人认为等保、iso 认证一类的审计流于形式,但有些指导项和细节确实是可以的
|
 |
9
coderluan 2024-08-21 09:37:15 +08:00 1
不太明白,有安全问题我理解,但是为啥是叔叔管这个,是楼主这个项目本身就是给体制内用的?
|
 |
10
follow 2024-08-21 09:38:01 +08:00
问题是,1. jc 怎么知道的? 2. 你们上线服务没做基本的防护么?
|
 |
11
proxytoworld 2024-08-21 09:40:53 +08:00
|
 |
12
loading 2024-08-21 09:44:00 +08:00 37
安全部门懂查这个,我倍感欣慰。
|
 |
13
zljklang 2024-08-21 09:45:37 +08:00
项目用的公网代码仓库吗
|
 |
14
dingyaguang117 2024-08-21 09:53:20 +08:00
政府项目?
|
 |
15
Configuration 2024-08-21 09:56:25 +08:00 1
如果是你的项目部署方式有问题,在服务器上被扫描到的,那没毛病,就是你的锅
|
 |
16
iOCZS 2024-08-21 09:57:40 +08:00
多大的事,我的个人网站也被这样搞过
|
 |
17
duanxianze 2024-08-21 09:57:56 +08:00
政府项目的话合理,确实是你们的错
|
 |
18
weixind 2024-08-21 09:58:14 +08:00 1
@follow 1. 叔叔也会扫网滴。很多人刻板印象觉得叔叔技术不好。2. 发帖的人可能都不知道这样为啥有问题。不然也不会发帖了。
|
 |
19
twofox 2024-08-21 09:58:46 +08:00
我做的小项目,一直都有这种扫描器,扫描.git 、backup.tar.gz 、config 、dump.sql 之类的很多很多
|
 |
20
746970179 2024-08-21 10:03:10 +08:00
想问下, 如果没有 git, 如何把代码同步到服务器呢?
|
 |
21
slowmist 2024-08-21 10:03:16 +08:00
是的 是一种安全隐患
|
 |
24
Pdk5a8759cbeD6CH 2024-08-21 10:08:51 +08:00
@proxytoworld 我做自己的项目,写了一个 bug ,jc 也有权利对我进行处罚么
|
 |
25
x86 2024-08-21 10:09:25 +08:00
隐患,和以前扫.svn 差不多
|
 |
26
sentinelK 2024-08-21 10:11:29 +08:00 25
项目目录内有 .git ≠ .git 放在生产环境
楼主,标题党不是这么当的。 |
 |
28
XG9H3BN7CWMMmnjw 2024-08-21 10:15:55 +08:00
没看懂,你自己的项目叔叔凭啥管呐?
|
 |
29
bzj 2024-08-21 10:17:47 +08:00
问题不是 git 放到生产环境,而是这个目录权限没有配置好
|
 |
30
rdZZZ 2024-08-21 10:18:42 +08:00
真他妈闲的蛋疼
|
 |
31
Felldeadbird 2024-08-21 10:23:47 +08:00
挺好的,有人给你做安全检查,还给你通知。
|
 |
32
Mrun 2024-08-21 10:30:18 +08:00
|
 |
33
vvvvvvvv 2024-08-21 10:30:41 +08:00
挨罚没毛病,我要是叔叔我也罚你
|
 |
34
28Sv0ngQfIE7Yloe 2024-08-21 10:30:50 +08:00
|
 |
35
xR13zp0h67njQr2S 2024-08-21 10:31:16 +08:00
@746970179 不是不让同步到服务器,是正式环境出现了 git 文件夹,开发环境随便出现
|
|
36
GG668v26Fd55CP5W 2024-08-21 10:32:07 +08:00 via iPhone 1
不用删除,不然依靠 git 更新的项目不方便,nginx 加条规则就行了。
location ~ /\.git { return 404; } |
 |
37
aihimmel 2024-08-21 10:32:19 +08:00
|
 |
38
Chappako OP 3
首先,感谢各位
项目为个人项目,几乎无访问量 项目代码放在 gitee ,为私有项目,版本库中不含敏感数据 确实是直接 git clone 部署的,但 .git 目录没有暴露在公网 之所以发帖,是想知道个人项目的安全是否需要叔叔来管,以及其他地方是否也有类似操作 最后,各位提到的等保、ISO 、安全方面知识,我会去了解学习的 |
 |
40
artiga033 2024-08-21 10:38:10 +08:00 via Android
首先确实是个入门级的安全问题,其次既然是备案的服务器,警方确实就有权利和义务扫漏洞并且要求整改,除非你是放自己家宽 ip 上的才真的叫“个人项目“,但是家宽的话运营商也有权管理
|
 |
41
icanfork 2024-08-21 10:39:39 +08:00
支持,反正都是大家长的环境
|
 |
42
hafuhafu 2024-08-21 10:42:09 +08:00
个人项目,你又说.git 目录没暴露到公网,那他们是用外部工具扫到的还是服务器上有啥工具?
|
 |
43
zackzergzeng 2024-08-21 10:46:05 +08:00
朋友没告诉你帮忙做的项目的安全等级吗?有点草率啊,能让叔叔出动的项目就随便分给外人了?
|
|
44
GG668v26Fd55CP5W 2024-08-21 10:46:46 +08:00 via iPhone
@Chappako 既然没有暴露在公网,那就不是扫的,它是直接查看云服务器取证的,阿里云配合度这么好,赶紧卸载它的监控吧。
|
 |
45
evill 2024-08-21 10:50:22 +08:00
个人项目? 他们怎么会知道你机器上有什么?
|
 |
46
Pierro 2024-08-21 10:51:54 +08:00
通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码 好奇这一步怎么做
|
 |
48
sagaxu 2024-08-21 11:05:54 +08:00
承德某单位发现了新的生财之道
|
 |
49
zhangeric 2024-08-21 11:19:48 +08:00
不都是当地网信办负责这事么?怎么还上警察了?难道之前网信办发通知你们没处理?
|
|
50
kuaner 2024-08-21 11:23:02 +08:00 2
是我理解错了,我以为是给政府做的项目,然后出的这种问题。
意思就是自己的项目,丢在网上的,也被约谈了?可怕 |
|
51
proxytoworld 2024-08-21 11:26:12 +08:00
@dylanqqt 一般只管辖区内的公司
|
|
52
proxytoworld 2024-08-21 11:26:50 +08:00
@Pierro git 里面有完整的记录,可以用这个恢复源码,有开源代码做这个
|
 |
53
fank99 2024-08-21 11:28:38 +08:00 1
我觉得有点离谱,我个人项目的安全问题,跟叔叔有什么关系?
例如阿里云来提醒我,我觉得没毛病,但是叔叔都扫盘了,凭啥? |
 |
54
VYSE 2024-08-21 11:32:41 +08:00
处罚决定书写的违反哪条?
|
 |
56
lambdaq 2024-08-21 11:40:09 +08:00
项目文件夹中找到了 Git 的元数据目录(Git),还是服务器 URL 里可以访问 .git ?
|
 |
57
unco020511 2024-08-21 11:47:39 +08:00
@746970179 就是把.git 文件夹也部署到网站了,用户可以直接访问
|
 |
58
nazhenhuiyi294 2024-08-21 11:53:21 +08:00
没说清楚,是对外的生产环境能访问到 git 目录,这个挺低级的错误。这个配置下就好了呀
|
 |
59
zhw2590582 2024-08-21 12:38:45 +08:00 1
还是不理解,自己的项目,为何他们这也要管?
|
 |
60
expy 2024-08-21 12:40:25 +08:00
下载源码为什么会影响安全?
|
 |
61
guanzhangzhang 2024-08-21 12:45:42 +08:00
很正常,.git 就不应该带出去,代码要是被人找到了逻辑 bug 被黑产搞了
|
 |
62
renmu 2024-08-21 12:50:22 +08:00 via Android
确认一下是否确实没暴露在公网,内网有.git 太正常了,是有一些组织会扫描暴露的危险内容从而发邮件提醒整改,基本上都是一个受欢迎的状态
|
 |
63
ndxxx 2024-08-21 12:59:53 +08:00
楼主 1 楼描述的不够清楚,但根据楼主 38 楼的补充,可以猜测一下楼主的部署方式:
项目文件夹直接 git clone 起手 trigger 项目更新,然后 build 项目。nginx 类似的服务 service 配置指向了项目 build 后的位置。(这种部署方式当然不是 best practice ) 叔叔的警告操作非常离谱,半瓶水在那鸡毛当令箭呢。(阿里云默认的各种镜像有全盘扫描的特色进程。我猜测是扫到有.git 就会上报,然后根据备案归属地开放给当地的叔叔。)生财之道 +1 ,日常移民广告 +1 |
 |
64
iyaozhen 2024-08-21 13:02:36 +08:00 6
楼主信息没说清楚呀,不知道是有意还是无意的
正文里面说:”帮朋友做的项目,放在阿里云“ 评论里面说:“项目为个人项目” “直接 git clone 部署的,但 .git 目录没有暴露在公网”你这不是矛盾嘛 都在目录下了,不就能直接访问了(如果没配置啥规则) “个人项目的安全是否需要叔叔来管” 你个人项目肯定没人管你呀,叔叔哪那么多闲心 “并提交了整改报告” 看着就是一个完整的报告漏洞修复漏洞的过程,这都是业务方要拿钱请人做的,是不是你朋友把项目部署到什么政府机关系统了,但是没经验又没做等保这些被甲方发现了。 |
|
65
Chappako OP @iyaozhen #64 首先,感谢评论
1. 正文中说『帮朋友做的项目』,评论中说『个人项目』,是因为有人提到是否政府项目,但该项目仅仅是朋友的个人项目而已 2. .git 目录 /var/www/project1/.git nginx root 为 /var/www/project1/public 所以无法公网访问到 .git 目录 3. 叔叔确实下了《当场处罚决定书》,理由就是 .git 目录的存在 4. 整改过程就是我删除了 .git 目录,《整改报告》是叔叔给的仅一页的范文,我帮着写完而已 |
|
66
746970179 2024-08-21 14:17:02 +08:00
@unco020511 感谢, 有点明白了
就是只要文件夹放到对应目录下, 就能外网直接访问的那种 那有人说是 aliyun 扫服务器有 git 就上报, 感觉不太可能, git 应该是服务器上最频繁的 bin 之一了 个人猜测, 是楼主说的" .git 目录没有暴露在公网" 这点存疑: 更像是自己觉得没有放, 但是实际上是可以访问的. |
|
68
proxytoworld 2024-08-21 14:19:23 +08:00
@hutoer 肯定是可以公网访问到的
|
 |
69
uiosun 2024-08-21 14:20:23 +08:00
没毛病,.git 敢丢到生产环境,这么蠢的事情,换我们之前的公司,别说开发人了,CodeReview 的人都要担责。
蠢不是攻击谁,只是说做事太离谱,堪比把密码写在备注里。 |
|
70
uiosun 2024-08-21 14:21:44 +08:00
至于 OP 问的其他地方有没有。
多数地方都有,我依稀记得,每个地方的部门,都有自己的参考,导致有些检测内容还是有差异的。 |
 |
72
DOOMS 2024-08-21 14:25:22 +08:00
.git 怎么会到 build 我也很疑惑你们的部署过程
|
|
73
iyaozhen 2024-08-21 14:26:26 +08:00
@Chappako 那确实匪夷所思了
这个修漏洞的操作是没问题,企业内天天很多这种工单 但居然是叔叔给你发的漏洞“工单”,第一次见。因为这种漏洞太常见了,公司内部天天都好多,处理不完,叔叔一天能处理几个(虽然不要他修,但也得打电话、推进流程呀) |
|
74
GG668v26Fd55CP5W 2024-08-21 14:29:33 +08:00 via iPhone
如果不是通过公网扫描,而是直接调服务器里的监控,细想极恐。哪天把你数据库扫描一遍看看有没什么敏感信息。
|
 |
77
ccc008 2024-08-21 14:33:48 +08:00
楼主是不是用了宝塔面板呢
|
|
78
9A0DIP9kgH1O4wjR 2024-08-21 14:37:49 +08:00
没明白怎么查到的?.git 也不在网站的根目录啊?
|
 |
79
me1onsoda 2024-08-21 14:55:44 +08:00
什么打包工具会把.git 打进去?用原生 js 写 html?
|
|
80
ndxxx 2024-08-21 15:08:39 +08:00
@ndxxx #63 看了楼主 65 楼的描述,看起来是是被阿里镜像的安全类进程扫到了 /var/www/ 这种高危路径下的 .git 文件夹出发了某种上报机制。总体上符合一贯的家长管理特色模式,处理方式“现场训诫+整改”,依然离大谱
 |
|
81
XG9H3BN7CWMMmnjw 2024-08-21 15:16:27 +08:00
谁能去阿里云去复现一下,这个会喝茶的 bug
 |
 |
82
icaolei 2024-08-21 15:52:01 +08:00
@bojackhorseman #76 我的 V 友,你“这”个错别字也是个非常严重的低级错误
 |
 |
83
liqingyou2093 2024-08-21 16:14:56 +08:00
令人匪夷所思
既然是个人项目和叔叔有什么么关系呢? 有漏洞也是个人的服务的漏洞, 泄漏也是个人的数据, 和叔叔有什么关系呢? |
 |
84
yhxx 2024-08-21 16:29:02 +08:00 2
我不理解
别说楼主说.git 目录并没有放在公网,就算是放了,极端一点,我把我自己的服务器完全公开,违反什么法规吗? 轮得到他们来管? 你可以提醒我注意安全防护,但是训诫就有点离谱了吧? 而且你从哪得知我的这个安全漏洞的?获取这个漏洞的渠道合法吗? |
 |
85
gadfly3173 2024-08-21 16:30:26 +08:00 via Android
@Chappako 放在/var/www 这种地方,你真的确定你没有类似于 nginx 的默认服务之类的东西可以访问到这个么?
|
|
86
Chappako OP @ndxxx #80 感谢多次回复
应该就是你 #80 所说的情况了 因为是 php 项目,不需要 build ,而域名又是直接指到了 /var/www/project1/src/public 类似这样的目录,所以 .git 不会暴露 应该是触发了某种机制 但以前在各种云同样的做法又没有触发过 也算是得到教训了 如楼上大家的回复,不管怎样,我自己确实需要学习了 |
|
87
Chappako OP |
|
88
Chappako OP |
|
90
yhxx 2024-08-21 17:08:26 +08:00
@kcerty
找到了,还真有规定,也算有法可依,是我错了 中华人民共和国网络安全法 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改 第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 网络产品安全漏洞管理规定 第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施: (一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。 (二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。 (三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。 第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。 第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。 第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。 |
 |
91
atpex 2024-08-21 17:21:03 +08:00
@yhxx 我也不理解,个人的项目精哥没道理管的吧,处置自己的“项目/数据/隐私”不是自己的权利吗?也没有执法依据,也看不出来违了哪条规。要么是 OP 没说全,要么我是外宾。
|
 |
92
shuiduoduo 2024-08-21 17:44:36 +08:00 via iPhone
服务器安全和他们有毛关系 被黑也和他们不相关
|
 |
93
MoozLee 2024-08-21 18:10:04 +08:00
不能理解,只要不暴露到公网就应该没问题啊。
|
 |
94
sampeng 2024-08-21 18:46:59 +08:00
现在北京叔叔确实就干这个事。什么防火墙有漏洞啊,什么开了 22 端口啊,什么像 lz 说的.git 啊。。我都碰到过请喝茶的事。。
|
|
95
sampeng 2024-08-21 18:50:51 +08:00
其实这个逻辑我挺能理解的。。。。这个世界就是一个草台班子构成的。网络安全造成了大量的经济损失(肉鸡,挖矿)。然后呢,各个公司的安全又如同儿戏。就是在很多人眼里都知道是常识的,但就是有海量的公司压根不在乎也懒得搞。有几个公司有安全部门的。都是网管或者运维搞搞。所以呢,叔叔们就对自己辖区的企业进行网络安全扫描。这也挺合理的,只要你开公网,你就要备案。你一定会被划分到某个辖区的网警部门。他们有权对安全进行一些初级检查
|
 |
96
her999 2024-08-21 19:10:43 +08:00
警察要么显示一下自己的存在感,给自己找点业绩,要么可能想学习承德同行,找到创收渠道。
如果不认同这种管理,那么建议还是慎用国内的 vps 和 gitee ,尤其是个人项目,用这些东西,不是给自己添堵吗? |
 |
97
sorcerer 2024-08-21 19:26:29 +08:00 via Android
你确定你的代码没有目录穿越访问的漏洞?
|
 |
98
v1 2024-08-21 19:29:14 +08:00
1. D 监控扫盘
2. KPI |
 |
99
cppgohan 2024-08-21 20:34:13 +08:00
"当场训诫" 是什么意思? 面对面上门批评了?
|
 |
100
kkwa56188 2024-08-21 21:49:17 +08:00
前几楼 把我整不明白了, 后面慢慢才有人反应过来, 这里应该讨论的顺序应该是:
1. 这叔叔也管? 2. 阿里云那边怎么上报? 999. .git 目录有技术风险. |
Select Language