七牛云 8 月 4 日详细事故说明

@Coxxs 感觉国外那些域名注册商也是挺牛的，管你什么站，流量多大，想禁就直接禁，根本不管对你的业务造成多大影响。其实这种情况，跟人还是觉得挺野蛮的，不管你美帝高压线不高压线，凡事先沟通总归是对的，这么直接来，不合适。

原来baidu域名被伊朗那帮人劫持也是，百度怎么也算一个大站，作为域名商难道不知道？怎么能随随便便就给人劫持走了？
是不是域名商认为：我管你大站不大站，流量多少，老子每年收你域名费和一个个人域名没差。。

@imn1

@sinxccc

瞎J8管如何破
有个医院客户，内部有超过一千台各种服务器，但是只有五个公网IP，这个医院还有多个分部
主web服务器(主IP:80)这个机器归我管，地理位置在某二线城市，我在北京远程工作，主要是我管一个分包下这个医院不少工作的公司的远程基础运维。

然后某天，接到该市网警通知，网警去机房拔了主webserver的网线，说是“公安部”某系统检测到我们网站上有病毒“潜伏”，即将在某日定时爆发，把我吓坏了。

拔了网线不要紧，我管理的服务器上面都有移动网络网卡，两个用处，紧急时候断网远程访问进去，以及平时发送短信通知我服务器异常、summary

偷偷连进去，一个纯webserver，上面跑一个安全化的CodeIgniter3(仅入口index.php映射到fcgi，svn部署所有参与执行的框架内文件全部root所有权限444,所有参与执行的文件都有一个后台bash脚本每30分钟md5、sha1比对一次是否被外部修改)，检测无异常

然后就开始日了狗了的与某市网警沟通 （医院领导表示只听网警的）

跟某市网警各种联系人沟通，他们都无法说明白到底是哪个网页有哪种病毒，他们只知道一个词叫做“定时爆发”并不断强调，具体问定时是啥时候就转移话题，然后我又学习到了他们不是7*24保护我们网络安全的，我开放了全部权限给他们（root密码），他们说不够。然后过了两天又说要去现场取证，然后周五说要去，那边上午10点安排好了小工等着，后来下午三点打电话表示等会儿就下班了，下周一再过去吧……然后期间我反复强调我的webserver没有问题，是不是别的系统别的IP上的有问题，这个话题我跟五六个人说过，然后不知道有一个姓X的是不是领导，我说完这话题他如获至宝，第二天告诉医院把所有IP的的所有服务器全拔了。好在我们医院自己的IT的level跟某市网警领导一样高得一塌糊涂，很正确的领会了就是把80映射到哪个机器就拔那个好了。又拔了4个服务器……

然后某个周三，网警带着人说是去拷服务器文件，问过了我们采用的技术是php+mysql，于是拷走了mysql的data文件以及……………………………………………………index.php和static目录

PS 我的webserver上几种常用框架都是集中部署一套的(节省opcode cache)，比如CI的框架文件实际部署在/var/framework/CI3.0.0，框架程序跟webroot也是独立的此项目的程序放在/var/framework/CI3_hospital_app/，而webroot则在/var/www/hospital_web/ 里面就一个index.php入口和static静态资源，连upload都不在这里在san存储分区

拷走了后又经过漫长的一周，期间沟通无数，后来我看这难搞，果断用多年跟司法系统打交道的经验找到了一个公安部的朋友询问，在自称公安部领导的哥们亲切过问下，某市网警终于在短短的一周分析完了我们网站的index.php和八个表大约两千行数据文件，并告诉我们处理意见如下：

把首页导航栏的医院XXX系统的链接 http://172.16.3.1/gbhLogin.do去掉！
没错 这是个172.16的IP 虽然在公网网页上 本身就不是给公网用的


后记，因为移动网卡流量还是很贵的，只有紧急时候我采用远程访问功能确认没问题，后续就没连过，当恢复了网络的时候，我连进去remote ssh，ubuntu server提示我必须立刻重启机器，然后重启后boot就坏了进不去系统。鬼知道他们是怎么拷的我的数据……


因为复制到他们带的移动硬盘这部是一个公司小工去协助的，小工给我反馈的是复制文件过程是这样的，他们不会看，小工去nginx配置文件找到webroot给他们看，然后他们cd进去复制东西到移动硬盘（index.php+static目录），然后数据库小工表示是不是mysqldump一下给你个全镜像SQL，他们说那是什么？然后最后是小工给他们看我们的本地自动备份程序（tar gz压缩本地数据库文件到压缩包） 他们说这个可以就用那个脚本现场压了一个拷走，之后的操作就让小工滚蛋了不知道他们搞了啥飞机……

遇到这事儿挺纠结的，，，

昨天没看到通知的时候去查whois 看到是8月3号续费的 还以为是过期了忘了续费。。。

@realpg 很正常。。我这边某大学，被公安网管部门通知说，服务器ip正在对外发射攻击，停掉了该ip，服务器那个是独立ip，而上面只有个shell（DOS），连真正的系统都没有。。太坑爹了

我是昨天上午上v2ex才知道有这档子事的
今天凌晨收到了事故说明及赔偿的邮件
吃早饭时才收到事故通知及应急处理的邮件（冏！）

你们不是有鉴黄服务吗，怎么自己先掉进去了？
不是一种营销手段吧？

@popok
这是东方人和西方人思维方式（或者说传统文化）的不同，东方人以协商为先，西方人以rules为先，西方人在没有rules的情况下才协商，而且主要目的是协商出一个rule，所以协商多出现在高层之间而不是下层

最典型就是年前某留学生犯事，中国的家属直接找受害人家属谈赔偿被当成行贿，谈赔偿这个在东方很正常，甚至还有什么“取得谅解”之类影响判决，但在人家那边谈赔偿就要经律师，而且刑事优先，没有什么“取得谅解”之说

七牛有这种态度值得信赖

这时候又开始谈西方人如何遵守规律了？是外国的月亮都很圆吗？
这种问题就算投诉到很多服务商也都是会发邮件限时处理，超时才停业务的，然而Godaddy是管你鸡毛大点的问题，全部都是暴力的先停业务再说，然后找他们客服还巨慢无比，完全一副店大欺客的架子，被Godaddy坑的大站也不是一个两个了。
我觉得现在业务还敢用Godaddy就是自己给自己挖坟墓，仅此而已

我怎么怀疑是被竞争对手举报的呢。。

这已经不是第一次了，为何还要吊死在GoDaddy上

@lovedboy 惊奇一身冷汗

这事不怪狗爹，换哪都一样，搞不好是FBI直接找的狗爹

支持狗爹，这叫法制，只要违法，不管是谁，直接依法处理，看你下次还敢违法。
而天朝，什么事总要区分人和事来处理，把法先放到一边，以钱为先，所以造成现在的普遍的无法无天。

我去邮箱看了一下，没有看到你说的事故提醒邮件和事故说明邮件。

文化差异和中国法律不成熟，在中国小孩子穿开裆裤到处跑随地大小便被认为是很正常的事，家长拍照片也不会考虑太多，在欧美估计就不行了。这种问题解决方按只有人工审核，并报警。

说明你们的奸黄产品质量不行啊！

鉴黄呢？

七牛自己不是有鉴黄服务？结果还因为黄色内容被禁。。。。