因为路由器刷了 padavan，智障公司通报我挖矿

这护网行动是全国统一的么？我们今天也是第一天

bitdefender 躺枪

bitwarden 气抖冷

公司接入未经过认证的私人设备？怎么不是直接开除？你还有机会和安全解释？

为了虎王行动加了好几次班了, 各种组件升级 /依赖升级

@5460 是全国统一的。公安部和工信部联合行动。
@franklinray 我这里也是。
@realpg 笑不活了

@iovekkk @franklinray

因为公司没有买 Linux 版奇安信终端，也没给我提供 kube 测试环境，

我在 windows 终端共享了网络连接给自己的测试环境这事部门安全员也知道，OA 侧扫描没发现问题

@WOLFRAZOR #26
这里解释一下为什么

上级通报 nginx 当时的最新大版本有个漏洞 是 nginx 1.14 还是 1.16 忘了
当时漏洞出来当日就修复了
然后我们也跟着修复了

之后漏扫就天天报告 nginx1.14 版本有漏洞(已经是最新修正过的了)
漏扫关键词 就是返回的 nginx 版本号 弱智


然后我们就忽略了这个报告
然后过一阵子, 他不报告了, 是最新版本更新升级了, 还是他内置的规则判断不依赖版本号了, 我是不知道, 漏扫这种东西都是骗钱的, 基本功能只有扫描 URL

然后不知道又过了多久,又开始报 nginx 这个漏洞, 没办法只能忽略
然后就被省级通报了 180 日不整改...

通报了就通报了吧, 赶紧整改, 怎么都改不好

然后就找漏扫厂家

最后跟漏扫厂家联合调试了俩礼拜(就这效率你敢信)

发现是漏扫库里有个(nginx 1.1x)的关键字符串

然后他们的码农升级系统变成了自动断开匹配, nginx 和 1.1x 变成了俩关键词

然后,漏扫厂家高高兴兴的跟甲方要了 1 万 8 升级费用

然后我公司被罚了三万

@realpg 本来就是改写一下 Server Name 字段就好了。你们还真天天升级啊。

@realpg #28 真无话可说。

@gengchun 借楼问一句：我司用的 nginx 1.18.0 ，但是 server_tokens 这个项只能设置为 on 或者 off ，没法自定义字符串啊。你们改字段是怎么做到的

@CatCode 当然是自行打补丁编译发版呗，这个不是玩 Linux 的基本操作吗？

@gengchun #29
肯定要天天升级的
要不真出安全问题谁也兜不住
想起来了,我们就是关了 tokens 变成了只有 nginx

让我想起了之前的 “大连铁路因 Flash 停更造成电脑显示故障，彻夜攻关 20 多小时用 Ghost 版系统解决”

@CatCode #31 编译上 ngx_lua 或者 njs 模块就可以修改 header ，或者前端服务器直接用 openresty

www.bit.edu.cn
哇咔咔

@realpg 糊弄扫描器应该算第一站，成本最低，扫不到我自然不会被入侵，也不需要整改。

天天升级那是大手笔。我们小厂是不可能做到的。

早跟你说了，bit 打头的都不是什么好东西，比如 bitch

同样要被护网行动逼疯了，感觉愚蠢至极，不用就不会被攻击，好思路啊

笑死，我们护网已经连百度都断了，nvm 下载 node 的环境都没了