[吐苦水]为何 PHP 不被待见，怎么一入侵就被运维泼脏水

2022-08-09 09:32:53 +08:00

NjcyNzMzNDQ3

运维组怀疑 PHP 被注入脚本，被黑客在数据库服务器嵌入了后门程序，疑似在 Mysql 上执行 Curl 命令，并且说是 PHP 暴漏了数据库服务器账号密码。

后经排查是定时任务导致。

遇到入侵，先甩一口黑锅。大家遇到这种一般怎么处理？是急眼开启对喷模式，还是不管任由其说。

日常聊天黑 PHP ，怎么怎么不行，怎么怎么不如 java 。这么说的运维不写代码，我司写 java 的也只会 java ，日常排挤 PHP 。个人感觉就是岁数大，倚老卖老，不肯接受新事物。

语言只是工具，程序漏洞在于程序员经验，经验不足用什么语言也都是漏洞。

论坛也都是黑 PHP 的，看多了也不想理，为了黑而黑都是。

向各位吐吐苦水，目前我前端 PHP 都写，在这好几年了，没有学历，也动不了。。

8489 次点击

所在节点

PHP

75 条回复

learningman

2022-08-09 09:35:50 +08:00

php 和 java 比起来，java 才是新事物吧。。。

fredli

2022-08-09 09:39:57 +08:00

出了问题当然互相甩锅，有理有据怼回去

janus77

2022-08-09 09:43:44 +08:00

撕逼也是职场必备技能，别以为做了程序员就可以安心坐桌子上啥也不管

wooyuntest

2022-08-09 09:44:25 +08:00

建议先应急完了再来复盘这些。
既然定位到是计划任务导致的影响，计划任务不会凭空产生，是否排查清楚了是哪个服务有漏洞导致系统被添加了计划任务？

fiypig

2022-08-09 09:44:48 +08:00

身为运维 ,服务器被入侵不是首要责任吗
没实际敲 PHP 跟 Java 有啥好喷两个语言的,反正喷语言你就别理他们,别参与这个话题,如果甩锅, 你就回击回去就对了

whosphp

2022-08-09 09:47:20 +08:00

运维主要责任说这些话是为了甩锅语言只是工具

tianyou666shen

2022-08-09 09:47:26 +08:00

不直接攻击你就不说
攻击你你就反向攻击他
上次 xx 还不是因为你们搞出来的漏洞 /延期 /bug 多你的 xx 问题也很多 1.2.3.4 有理有据的反驳下次看他还来不来自讨没趣

hoopan

2022-08-09 09:48:01 +08:00

道理你都懂，干嘛不跟他掰扯，不要把精力都放到敲代码上

Lax

2022-08-09 09:55:39 +08:00

定时任务怎么来的？

QlanQ

2022-08-09 10:03:32 +08:00

语言、软件也靠营销，比如 mysql 和 pg ，说 PHP 不如 Java 的，都是阿里出来，只会 Java 然后就让那些刚有点钱的老板换 Java ，有多少公司到了语言瓶颈需要换 Java 的，真到了语言的瓶颈，Java 也解决不了呀，还是营销，大家都这样说，别人也就信了

NjcyNzMzNDQ3

2022-08-09 10:05:31 +08:00

补充下：定时任务是大概 3 年前写的了，内容是定时 curl 自己的业务。不是注入脚本。。

zapper

2022-08-09 10:06:10 +08:00

日常聊天爱咋黑咋黑，你自己比他们黑起来都狠就完事了
工作上这种先甩一口黑锅的，查清楚原因了发总结邮件抄送领导呗，多搞几次他们就虚了

sampeng

2022-08-09 10:07:54 +08:00

有一说一，被入侵不是运维的锅，是公司的锅。术业有专攻，公司不安排安全部门。。。要求所有运维都有极高的安全风险控制能力是大概率不可能的。现在 devops 这么活，都是搭个 ci/cd 就说自己是 devops 了。10 个运维里面有 1 个懂代码？不懂代码必然不懂安全控制。

再进一步，如果定时任务是研发写的，研发有责任控制定时任务的安全。如果是运维写的，运维的锅。

再再进一步，代码都背注入了。。只能是从 web 进来的，这锅运维部背

duanxianze

2022-08-09 10:13:28 +08:00

这种时候就是为了甩锅啊，别管你用啥语言都一样

zw1027

2022-08-09 10:13:38 +08:00

这是人的问题，谁主张谁举证，有证据拿出来，否则闭嘴

libook

2022-08-09 10:18:14 +08:00

运维、开发、安全应是三个独立职责，即便没有三个岗位，也得划分清楚每个指责由谁来承担，否则就会扯皮。

安全岗位很重要，很多基础设施因为设计、配置、使用方式等原因极容易产生漏洞被攻击者利用，所以需要安全人员对系统进行评估并提供安全方案。

处理这种即时甩锅的情况，每个人有自己的风格，可以先让其做实甩锅的行为，然后调查好实际情况，等问题解决后再向领导以正式邮件等形式罗列证据控诉失职情况。

凡是涉及到由 URL 动态加载程序文件机制的，很长时间以来都是安全问题的重灾区，比如 PHP 、JSP 、ASP 、ASPX ，但经验带来的怀疑只能当作进一步求证的依据，不能作为结论。通过尽职的安全工作，很多风险都是可以降到很低的。

NjcyNzMzNDQ3

2022-08-09 10:18:44 +08:00

谢谢各位，啥生产事故都没发生。就是对抬一贬一下的话术发泄下不满。

huangwei8ku

2022-08-09 10:19:13 +08:00

说白了，还是你自己水平不够，我们组写 golang 的也是一样被老运维和老 Java 怼，上次经理默许了我的行为，我分分钟去外网的 0day 漏洞找了个 goalng 的 payload 直接攻进了运维的服务器，拷贝了数据库资料，停止了 java 服务的容器，换上了我们自己好的 golang 服务，提供了 2 周的稳定服务，运维到月底才发现。半年度会上被我们嘲讽到死。垃圾运维

darkengine

2022-08-09 10:21:23 +08:00

你们运维这么水，自家的定时 curl 任务被误判成攻击？

huangwei8ku

2022-08-09 10:21:46 +08:00

真厉害的运维我见过一位，人家研究的东西就是入侵主动报警，那个才叫墙，人家是的的确确写代码出生的。C++； python;golang 都写过，神人，目前居住加拿大

第 1 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/871584

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.