思细级恐啊,我们自己搭的 gitlab 的都被黑了!

2022-02-24 20:48:00 +08:00
 heipipi

情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。

直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。

顿时吓出一身冷汗啊!绝绝子!

上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。

各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。

29014 次点击
所在节点    GitLab
247 条回复
efaun
2022-02-25 14:28:58 +08:00
笑死我了 你赶快换人家的系统吧, 然后你再发个为什么换了小众的还是被黑了
efaun
2022-02-25 14:29:28 +08:00
Psily1017
2022-02-25 14:37:23 +08:00
> 楼主的言论真的让人感觉像在撒泼。

我弟弟天天去免费球场打球,球场保安贴出告示提醒我弟弟,最近篮球场地面有点滑,最好做好打球必备措施或者穿防滑鞋,我弟弟没在意,还是穿着板鞋和赤膊去打球,打球的时候滑倒了摔骨折了,家人不让我弟弟打球了,我弟弟说:“都怪这个球场没有做好防滑处理,如果这个球场不滑,我怎么会摔骨折。”
别人说,弟弟为什么不穿防滑鞋或者护具,我弟弟说:“虽然我不穿,但球场一点问题都没有么?”
球场 -->免费的 保安 --> 提醒了 我弟弟还是我行我素。
(ಡωಡ)
heybuddy
2022-02-25 14:40:29 +08:00
自建的 gitlab ,可以先设置阿里云 ip 白名单
pusheax
2022-02-25 14:47:06 +08:00
@adoal
这个太有同感了。系统是第三方的,我们报告里都是给缓解措施,做访问控制之类的。除开甲方财大气粗有话语权,不太可能要求供应商开发补丁。
而且就是现在的开发外包、运维外包啊,一言难尽。为了压低成本,应届生都往高级职位那送。尤其是碰到喜欢甩锅的外包运维,气的我睡不着觉。
patrickyoung
2022-02-25 14:48:49 +08:00
樓主哪家公司的,快說一下。

技術能力差的感人還不自知,發帖找罵的典型。

一個軟體存在不可能沒有漏洞,軟體不可能沒有漏洞,都是人寫出來的。那按 po 主的邏輯,為啥國內這麼多大公司用 GitLab ,就你家被黑?人家幾家公司自己搭建商業運營的 GitLab 為啥沒事。
ohmyzsh
2022-02-25 14:50:16 +08:00
applend 笑死,数据没了,怪我们喽?
patrickyoung
2022-02-25 14:53:55 +08:00
還有一個事情,那按照樓主的邏輯:

上网搜了一下才知道,windows/mac/linux 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。

那建議您立即斷網。
sampeng
2022-02-25 14:57:27 +08:00
有告警=>觉得没事=>被黑=>gitlab 就是个垃圾,居然有漏洞=>请教 v 友有有什么替代品。。。

你公司需要把负责人换了。能做出这样判断的。。。真的没谁了。。

不要抬杠,内部系统在内部网络是常识,常识的意思就是不需要说,大家都知道怎么做。公开在外网的除了云服务以外,都默认不安全有被黑风险。

被黑不一定是靠漏洞,你都说了是 web 端登陆的,就你们这个安全意识,盲猜没开二次认证,有人弱密码被彩虹表了

但凡你加一个 ip 白名单都没事。两分钟的事。
xuhaoyangx
2022-02-25 15:00:14 +08:00
过来看笑话
marffin
2022-02-25 15:01:58 +08:00
正确的思路是加强安全防范,无论是 gitlab 还是什么其他的替代品,漏洞都是不可避免的,但是安全措施是可以有效的防范攻击的,比如对 gitlab 所在的服务器做加固,以及强制特定的 ip/vpn 才能访问代码等等。
efaun
2022-02-25 15:27:14 +08:00
@Psily1017 #143 你这个例子不合适, 因为按照中国法律的判罚和中国按闹分配的特性, 球场的确是会赔钱的, 换成地球为什么会有引力就没问题了
Daiwf
2022-02-25 15:27:45 +08:00
你仔细看下阿里云服务器上的日志,你就会发现很多端口都在被扫描呢。各种试账号密码什么的。我自用的阿里云密码设置的超级复杂。不然直接被字典了。
OrangeSinglee
2022-02-25 15:32:57 +08:00
来看一下大家怎么喷的
panzhc
2022-02-25 15:51:24 +08:00
@heipipi 好奇到底被提交了什么样的恶意代码?方便公开下恶意代码,让我们一起来谴责黑客吗?
heipipi
2022-02-25 15:54:26 +08:00
你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
xinxin8816
2022-02-25 15:59:15 +08:00
太正常了,SSH 、3389 每天被黑的也不计其数,这是得辩证的看
wjm2038
2022-02-25 16:02:27 +08:00
哦内网就跪的太多了,提前做好防范有啥问题么?安全使用内网只是其中一个比较快捷方便的方法而已,你要用别的也不是不行啊。为了安全作再多防范都是理所当然好吧
Goooooos
2022-02-25 16:04:02 +08:00
op 说的都对
gps949
2022-02-25 16:05:42 +08:00
“只要我够健康、免疫系统棒棒的,裸奔 or 不戴 t 也无妨。”
以上是调侃。估计 OP 听不进去。

那么下面是正经话(估计 OP 也听不进去):
1 、世界上没有任何软件 /应用 /系统 /服务是 100%没问题的。别说 gitlab 这种算不上头部企业产品了,微软、谷歌、苹果、Oracle 、IBM 、Intel……的产品又如何,不也漏洞一大堆?
2 、都指望产品本身安全就够了的话,安全公司、企业内安全部门就都失业饿死好了。
3 、安全没有 100%,也不存在 silver bullet 。内网又如何、断网单机又如何?旁路攻击了解一下,社工了解一下。所以安全是系统性工程,且在安全程度和成本、便利性之间做权衡。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/836253

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX