V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
shoreywong
V2EX  ›  问与答

把公司内网穿透 然后被勒索了 我得付多大责任

  •  4
     
  •   shoreywong · 300 天前 via iPhone · 42409 次点击
    这是一个创建于 300 天前的主题,其中的信息可能已经有所发展或是发生改变。

    国企 今年入职新员工 没有任何安全培训过 我也不知道不能内网穿透
    为了方便维护 我把单位的服务器用 frp 内网穿透了
    结果服务器数据库密码太简单 被通过数据库提权控制了服务器
    然后导致内网 14 台服务器被黑中了勒索病毒
    说是我违规操作
    处理结果还没出来 想问问我得付多大责任
    我觉得最多就是开除吧 不会让我赔偿吧

    第 1 条附言  ·  286 天前

    今天听说不追究我责任了 领导帮我压下来了 终于可以安心工作了
    数据听说重新上传存档报表的方式人工补了
    大家还是要引以为戒 比如楼里提到的弱口令 指定IP访问等
    国企加上领导比较好 我也听从楼里建议认错态度比较好 才比较幸运的没被追责

    293 条回复    2020-10-10 19:27:03 +08:00
    1  2  3  
    bxb100
        1
    bxb100   300 天前 via Android
    运维?
    shoreywong
        2
    shoreywong   300 天前 via iPhone
    @bxb100 #1 新成立的分公司 基本就我一个人开发 做网页 运维都是我 岗位是软件维护员
    wushigejiajia01
        3
    wushigejiajia01   300 天前 via Android
    这比删库跑路还严重吧?🤪
    d5
        4
    d5   300 天前   ❤️ 4
    最近不是攻防演练?是攻防演练的操作,还是真黑客呢。
    我今天也惨了,也可能要被辞退了,具体不能说了。
    itskingname
        5
    itskingname   300 天前 via iPhone   ❤️ 4
    要赔偿,一般是一百万以上
    banxiaobu
        6
    banxiaobu   300 天前 via iPhone
    八九不离十,要赔偿,多少看具体怎么定量了。估计不光是你,领导也要,嗯,连带责任
    ferock
        7
    ferock   300 天前   ❤️ 1
    没有金刚钻别揽瓷器活
    shoreywong
        8
    shoreywong   300 天前 via iPhone
    @d5 #4 真黑客 被勒索了
    redtea
        9
    redtea   300 天前   ❤️ 3
    说不定要判刑,上次北京一家公司的项目经理把郑大一附院的数据库锁表,导致门诊系统无法正常使用,犯破坏计算机信息系统罪,判处有期徒刑五年零六个月。
    blindie
        10
    blindie   300 天前   ❤️ 1
    赔不赔看损失。判专业行为是不是过错,是看一般同岗位会不会范这事。我看同岗位基本不会这么大意。Frp 都自带 stcp,也不用,稍微有点意识啊。
    前段时间运维操作有问题,800 万五年。
    LancerComet
        11
    LancerComet   300 天前
    如果生产环境重要数据丢失,基本上要做好裤衩赔光的准备了
    jkbspin
        12
    jkbspin   300 天前
    吃点好的吧..
    XiaoxiaoPu
        13
    XiaoxiaoPu   300 天前
    @redtea 你这个有点吓人了,不至于。楼主的行为和服务器中毒无直接因果关系,真正造成系统无法使用的是攻击者。
    hiahiahiahia
        14
    hiahiahiahia   300 天前
    该吃吃,该喝喝
    labulaka521
        15
    labulaka521   300 天前 via iPhone
    今天还有个帖子说 自已孕期想用内网穿透到公司内网
    vazo
        16
    vazo   300 天前   ❤️ 1
    岗前培训 数据库密码太简单 搞内网穿透的都有责任.谁好欺负,谁就是主要责任.
    blindie
        17
    blindie   300 天前 via Android
    @XiaoxiaoPu 不吓人。罗老师讲要认清楚是 A->B->C 还是 B->C 这明显是前者 张三把人腿打断然后他因为动不了被冻死 张三负死亡责任的。你这犯了个是刀杀的人而不是人杀的人的谬误。
    shoreywong
        18
    shoreywong   300 天前 via iPhone
    @vazo #16 公司新成立没有人负责计算机方面岗前培训 我参加的岗前培训跟计算机无关
    数据库密码是分公司一把手设的 单位也就十个人
    xy2020
        19
    xy2020   300 天前 via Android   ❤️ 2
    主要看损失能否挽回,能挽回多少。
    如果除了付赎金外没有其它办法挽回,赎金无论多少都需要由你承担。
    此外,造成公司业务的损失,如果有合法证明,也需要你承担。没有证明的就算了。
    总额过大、你无力承担的,就会追究刑事责任了。
    volqiu
        20
    volqiu   300 天前
    心太大了,暂时继续保持吧,有律师朋友还是咨询一下吧……
    shoreywong
        21
    shoreywong   300 天前 via iPhone
    @blindie #17 我也看罗老师 但我觉得内网穿透然后造成比较大的损失是低概率
    vazo
        22
    vazo   300 天前   ❤️ 2
    通话交流要保留好证据.只要你不是里应外合,应该不会只有你一个人的责任.
    XiaoxiaoPu
        23
    XiaoxiaoPu   300 天前   ❤️ 3
    @blindie 楼主这个事情,攻击者并不是死物 “刀”,而是有行为的能力的攻击者。别搞类比,类比没有说服力。我还类比成,张三是屠夫,他没有保管好自己的杀猪刀,李四偷了他的刀把王五杀了,问张三有什么责任?
    zealic
        24
    zealic   300 天前   ❤️ 3
    你本身就意识不到内网穿透带来的安全风险,是具有大部分责任的;
    这种事情应该走流程,所以你确实违规了,如果是在涉密单位,那基本就得坐牢;
    正规流程是申请 VPN 访问内网,如果 VPN 有问题则属于泄密或者维护者的问题,国企不差 VPN 设备这点钱。
    ifxo
        25
    ifxo   300 天前
    赎金高不高,不高就自己掏了吧
    whywhywhy
        26
    whywhywhy   300 天前   ❤️ 1
    你自己要用什么就映射什么,但是映射出去的一定不要有弱密码、已离职同事知道的密码也不行,安全防范的底线就是“可控”,像很多人喜欢用 Abc123 类似这样的密码去“符合密码要求规则”,还有就是互相分享自己账户的密码给别人,真的是很恶心,搞得一个个本来安全的东西变得一点都不安全。。
    raaaaaar
        27
    raaaaaar   300 天前 via Android   ❤️ 2
    @blindie #10 这不抓反而抓运维,搞笑啊,运维就是操作有问题也不是故意把密码透露给别人的吧,哪天写 bug 造成损失岂不是程序员也要坐牢了。
    blindie
        28
    blindie   300 天前 via Android
    @raaaaaar 不是只有一个有责任的。
    bxb100
        29
    bxb100   300 天前   ❤️ 1
    @shoreywong #2 新成立的估计业务数据也不会太重要, 保重
    shoreywong
        30
    shoreywong   300 天前 via iPhone
    @bxb100 #29 我们单位几乎没损失 主要是其它单位
    blindie
        31
    blindie   300 天前 via Android
    @shoreywong 虽然很同情你的遭遇 但就事论事确实发生了相应后果 你主观认为是低概率 放裸端口也不是同行常规操作 这在法律上叫做“抱有侥幸心理,安全意识淡薄”
    goofool
        32
    goofool   300 天前 via Android   ❤️ 1
    为啥服务器被黑了就直接找到你了,你还告诉别人你用了 frp?
    Tvan
        33
    Tvan   300 天前 via iPhone
    别吓楼主
    kuzhan
        34
    kuzhan   300 天前
    最近大鱼大肉该吃吃该喝喝吧,毕竟里面几年吃不到多少鱼肉!
    594duck
        35
    594duck   300 天前 via iPhone   ❤️ 10
    理论上你不是主观作恶,不会重判,另外你们单位自己一岗多责,权责不清,领导不重视安全问题,负主要责任。记住态度要好,表现诚恳。

    另外你报警了么,记得提醒领导报警。

    以后不懂不要乱弄。你方便人家也方便。我们买 vpn10 万,15 万,你以为是好玩啊。那是血和泪的教训。

    这两天 V2EX 小粉红洗地。你自己看清楚。
    shoreywong
        36
    shoreywong   300 天前 via iPhone
    @goofool #32 管网络的单位请了安全专家来查日志 发现是从我的服务器数据库入侵的 而且第一时间拷走了我的服务器所有文件 桌面上甚至有我的 frpc 配置文件 我觉得瞒不住 一开始我觉得最多就是 ddos 攻击 就说了 没想到通过数据库之间控制了服务器
    goofool
        37
    goofool   300 天前 via Android
    @shoreywong 你们这些服务器都是测试服务器,不是生产服务器吧
    shoreywong
        38
    shoreywong   300 天前 via iPhone
    @goofool #37 我们是能源企业 这些都是信息化系统 比如传合同 上报日报周报啥的
    dorothyREN
        39
    dorothyREN   300 天前
    还不如直接在服务器上 rm -rf /*呢,就说是误操作了。
    eviladan0s
        40
    eviladan0s   300 天前
    @d5 攻防演练不会搞勒索病毒的
    xcodeghost
        41
    xcodeghost   300 天前
    这个事情既然发生了,那么一定单位领导肯定要找一位替罪羊的,你说不找你找谁。
    x86
        42
    x86   300 天前 via iPhone
    从来不拿公司电脑做其他事…
    eviladan0s
        43
    eviladan0s   300 天前   ❤️ 2
    给后面看到的小伙伴提个醒:
    1.内网机器需要外网访问的,不要自己搞内网穿透,实在不行让领导买设备
    2.弱口令,弱口令,弱口令,永恒不变的话题
    ouqihang
        44
    ouqihang   300 天前
    看能不能抓到人,现在支付渠道都有追踪,真正的勒索者才负主要责任。
    不是说疫情期间有人弄勒索病毒,被警告,后果 xxx,后来自己解了。
    oneisall8955
        45
    oneisall8955   300 天前 via Android
    慌了,赶紧把穿透关掉
    across
        46
    across   300 天前
    @redtea 判刑那种是蓄意破坏的···
    sujin190
        47
    sujin190   300 天前
    公司服务器好歹弄个 vpn 啊,frp 这种不靠谱的也敢在公司服务器上玩。。

    非主观恶意且明确知道有风险的造成损失的,比如 bug 这种,谁知道哪会有 bug 啊,而且 bug 这属于开发流程不严谨公司管理流程有问题,这种确实不承担责任,但是吧你这个属于预知有安全风险还主动安装这软件且未和领导沟通导致被入侵,虽然非恶意,估计连带责任是很难逃掉了,如果有备份或是非交易算法知识产权啥的不会造成重大损失的那就太庆幸了

    公司电脑啥的说真的还是别乱装工作无关的,更别说服务器了,指不定哪天就要背锅
    20150517
        48
    20150517   300 天前   ❤️ 3
    我觉得趁现在没被关押,赶紧逃出境吧
    expy
        49
    expy   300 天前
    frp 没有 vpn 那样的访问控制吗,怎么就直接搞到数据库了?
    getadoggie
        50
    getadoggie   300 天前
    攻击者要达到他的目的,是需要一系列的“门”的,这些门每一个都很重要,都是缺一不可,你只是误开放了其中一个门。要追究的话,你要负私自修改系统以让系统潜在的缺陷增加这一个责任。由于造成了较严重的后果,对于后果你也要负一定的责任。其它的门也是由公司对应的人把守的,他们在这一过程中绝对要负对应的责任,只不过看起来不像你这么明显而已。比如放任若密码这一道门。如果查到具体的攻击流程,你要算算这里一共开了多少门,分别应该由哪些人承担(你不去检查这些其它人只会甩锅给你),然后由门的大小计算责任。最后我想你还是要赔钱的,这个应该跑不掉,只不过数额需要你努力把它客观化,别让某些过于自私的人把责任都推到你身上。
    CEBBCAT
        51
    CEBBCAT   300 天前 via Android
    FRP 就只是端口转发,不知道现在是不是默认开启通讯加密,反正我之前是开了的,也开了压缩。

    这等于把内网服务的端口对外开放到一个固定的端口上了,别人只要嗅探出端口对侧服务,就可以暴力破解了。

    楼主说得还是不够清楚,比如说是把数据库还是 sshd 的端口给映射出去了?

    各方都有责任
    shoreywong
        52
    shoreywong   300 天前 via iPhone
    @CEBBCAT #51 我把数据库 rdp 和 8080 映射出去了 是从数据库进来的 我也很奇怪它为啥能知道比如说我把 3306 映射到 9999 他怎么知道是数据库端口的 应该没加密 上面有人说的那个 stcp 好像才是加密的 哎 不知道 刚弄好没一周
    0x6c696e71696e67
        53
    0x6c696e71696e67   300 天前
    @blindie 1,分公司就他一个技术员,被黑了当然第一时间找他。2,他不用告诉任何人,总公司派人来一查就知道了
    xupefei
        54
    xupefei   300 天前 via iPhone
    @20150517 你还真敢说…要是楼主真的跑了你就要被抓了😂
    im3x
        55
    im3x   300 天前   ❤️ 2
    @shoreywong #52
    可以通过端口的流量指纹识别,简单说就比如,你用 nc remote-addr 9999 的时候,会返回带有 mysql 字符串的流量特征,扫描程序就可以自动识别为数据库了
    shiny
        56
    shiny   300 天前
    @redtea 记得那次是因为擅自把管理员密码偷偷记了下来,方便自己操作
    Felldeadbird
        57
    Felldeadbird   300 天前 via iPhone
    我认为需要先确定一个事情,内网穿透这个事情 公司知道不?

    如果不知道私下开启,你就需要担责。
    Felldeadbird
        58
    Felldeadbird   300 天前 via iPhone
    没有任何安全培训过

    楼主最好找个律师朋友咨询一下。不要乱说话,免得无辜担责。
    xupefei
        59
    xupefei   300 天前 via iPhone
    @XiaoxiaoPu 楼主本质是开门放狗,门开了,狗进不进来是另一回事。重大过失这个锅是怎么也甩不掉的。
    redtea
        60
    redtea   300 天前 via iPhone   ❤️ 2
    刑法第一百六十八条 国有公司、企业、事业单位人员失职罪
    国有公司、企业的工作人员,由于严重不负责任或者滥用职权,造成国有公司、企业破产或者严重损失,致使国家利益遭受重大损失的,处三年以下有期徒刑或者拘役;致使国家利益遭受特别重大损失的,处三年以上七年以下有期徒刑。
    testver
        61
    testver   300 天前   ❤️ 3
    @shoreywong

    这个事可大可小,有人罩你,说交了学费也没啥问题。

    没人管你,公事公办,坐牢也不是不可能。

    找个好点的律师,咨询下吧。
    arischow
        62
    arischow   300 天前 via iPhone
    方便维护可以 SSH 密钥 + 堡垒机,这么大的事情咨询律师吧
    arischow
        63
    arischow   300 天前 via iPhone
    公司也野鸡,居然让你这么搞。。。
    plko345
        64
    plko345   300 天前 via Android
    我好奇的是 frp 怎么配置的,有什么漏洞吗?
    watzds
        65
    watzds   300 天前 via Android   ❤️ 2
    这么个粗糙公司就一个人维护所有,能是什么重要东西

    我觉得不严重,就是发展初期踩坑
    watzds
        66
    watzds   300 天前 via Android
    @shoreywong 端口扫描的估计
    Verx0
        67
    Verx0   300 天前 via Android
    樓主今晚應該是睡不好覺了......
    gangsta
        68
    gangsta   300 天前
    关注一下 希望没事 楼主如果方便的话, 更新一下后续, 其他人引以为戒
    namaketa
        69
    namaketa   300 天前   ❤️ 6
    我在学校也干过类似的事。
    rdp 直接 frp 到公网,结果被永痕之蓝彻底干翻,心都碎了。
    结果那段时间整个内网病毒泛滥,一片狼藉。
    根本没人追究是谁干的,也可能是信息处的老师帮我包庇了。
    从那以后我就认识到不要随便放公网端口,到处都是扫描器,不出两天骨灰都给扬了。
    nuk
        70
    nuk   300 天前
    老哥居然敢直接暴露内网服务,现在不出问题迟早要出问题的。
    且不说弱密码,你能保证这些服务没有 0day 漏洞?
    这个学费有点贵啊!
    ssh 反向连接+ssh 端口转发才是正道啊,关键是犯事也很难确定到你身上,文件审计没毛病,流量审计 ssh 也没毛病,打死不承认就行了。
    moln
        71
    moln   300 天前
    我就是想问问,比如火箭发射失败了,连卫星一起摔掉了,那么大的损失,是不是每次都得抓一批科研、技术人员坐牢?
    li492135501
        72
    li492135501   300 天前
    建议跑路
    JamesR
        73
    JamesR   300 天前
    算天灾意外吧,服务器没有打补丁,没有安装杀软也是问题,不完全楼主责任。
    iamwho
        74
    iamwho   300 天前
    能源企业是要做等保的吧,这怎么过的?
    ryd994
        75
    ryd994   300 天前 via Android   ❤️ 4
    1.单位没有安全培训
    2. 服务器弱密码
    3. 出口流量没有限制和没有审计
    4. 服务器没有及时更新
    5. 没有备份 /其他应对勒索病毒的措施

    你开端口是直接原因,但安全生产事故从来都不是只有一个原因。事故不是偶然,而是各种违规叠加在一起的必然。把责任推给直接责任人是没有用的,只有吸取教训,改进规章制度,才能从根本上消除事故。
    yzkcy
        76
    yzkcy   300 天前   ❤️ 1
    给楼主提个建议:有错就认,挨打立正,就别想着分锅了。
    这个事可大可小,轻的扣个绩效就完了,单位就当作买个教训;
    重的判刑也可能,因为是你的原因(你搞 frp 可能会被认为主观故意)导致了内网被黑。(参考 https://www.infoq.cn/article/RZzfel1m6-h8pSK8TTC9 这个案例,大疆的程序员无意间把公司的项目传到了 gitHub,配置文件里有 AWS 私钥,然后被大疆告了,判半年+20 万罚款)

    你现在最需要做的是卖惨拉同情跟能说得上话的领导搞好关系,找勒索病毒的解决方案把危害最小化,态度端正点,努力争取宽大处理。否则本单位或兄弟单位选择告你,有可能判刑的。
    noogler67
        77
    noogler67   300 天前
    我觉得楼主问题不大。可以看出单位不怎么重视安全。楼主只是技术失误。和多个技术失误在一起导致了一个比较弱的弱点。警察有本事去抓黑客啊。
    cranelee13
        78
    cranelee13   300 天前   ❤️ 1
    @shoreywong
    nmap -sV -T4 -Pn -n -open 127.0.0.1 -p 3306
    shutongxinq
        79
    shutongxinq   300 天前 via iPhone
    暴露内网相当于把防火墙拆了,挺严重的,建议去外地躲一躲
    zbttl
        80
    zbttl   300 天前   ❤️ 2
    @moln #71 火箭发射失败一般都会有报告的吧,要是复杂的、非人为技术失误,那总结总结也就算了;反过来要是查出来是哪个人偷了某个零件导致发射失败,可能就不是开一批人那么简单的事情。

    本质上和楼主这个事情没区别。

    frp 默认这种单端认证还真是非常不安全的东西,我曾经给我家里电脑开过 rdp,结果过几天一查日志,都被扫到姥姥家了。而且你放自己管理的服务,然后给服务上高强度密码就算了,你放别人维护的服务这说不过去吧。。。主锅你肯定要背,至于背多少,就要看看你人际关系上的造化了,如果你们领导说话算数和你关系好,那你就把锅揽了吧。反之,楼上有人提到把权责客观化的,你看着来吧。

    当然最好是能抓到勒索的,那你基本就没啥事。
    hronro
        81
    hronro   300 天前 via iPhone
    为啥不用 nebula 之类的来做内网穿透呢,nebula 明显要安全的多
    falcon05
        82
    falcon05   300 天前 via iPhone
    多半不是 frp 的问题,而是映射出去服务的问题,比如远程桌面,数据库弱密码,被暴力破解。或者 frps 所在服务器自身被攻陷,顺藤摸瓜黑入被代理端。

    而且 frp 有一种模式是要连接被代理服务,访问端也要开 frp 验证的模式。代理服务器、访问端、内网被访问端都要运行 frp 。
    axo
        83
    axo   300 天前
    后续处理结果,希望给大家通报一声。不要问完意见就跑了。
    wmxl
        84
    wmxl   299 天前
    我觉得很多时候都是可大可小的,看楼主造化了。还是建议楼主和领导同事搞好关系,同时早点联系律师咨询。最后楼主处理结果出来了,可以更新一下,给后人一些警示和提醒。
    hellos
        85
    hellos   299 天前 via Android
    @moln 比喻都不会比喻,应该是:火箭上有个螺丝拧的好好的,发射前你把它偷偷拧下来了。现在因为这个螺丝导致发射失败了,你敢说你没有责任?!
    loading
        86
    loading   299 天前 via Android
    外网可能是专业的硬件防火墙,你穿透挖了个隧道,建议交代好身后事吧。
    hanbing135
        87
    hanbing135   299 天前 via Android   ❤️ 1
    纯正国企的话 有可能屁事没有 比如领导不当回事 有可能得坐牢 看上面领导讨论呗
    darknoll
        88
    darknoll   299 天前
    我稍微幸运些,同事机器密码都没猜出来,只是自己机器被勒索,而且我平时代码都习惯提交到 svn 或者 git,所以晚上偷偷重装了,没有人知道。
    darknoll
        89
    darknoll   299 天前
    @labulaka521 这事关键是弱口令的问题。
    opengps
        90
    opengps   299 天前 via Android
    造成损失多大?惩罚是否要执行到位的主要根据就是损失,一般指经济损失。不过这个误操作怕是要对你影响很久
    alfchin
        91
    alfchin   299 天前 via iPhone
    @raaaaaar 运维违章操作导致,构成玩忽职守。两件事一码归一码,黑客抓运维也跑不了。
    alfchin
        92
    alfchin   299 天前 via iPhone
    @moln 这和楼主完全是两个性质。
    楼主是明知或者应当知道使用不可控软件的安全风险,但仍在敏感设备上面使用,并造成严重损失。
    发射火箭砸了,大概率是非主观原因导致的。如果和楼主一样成因砸了,判刑进去的好几个。
    jin7
        93
    jin7   299 天前   ❤️ 1
    关注后续 不懂安全 frp 之类的还是不要用了
    bwangel
        94
    bwangel   299 天前 via Android
    收藏了,蹲个后续。
    jagger2048
        95
    jagger2048   299 天前
    所以还是直接用 zerotier one 好些,至少还有个后台来管理接入的设备
    ak47007
        96
    ak47007   299 天前
    是自己搭的 frp 还是用的别人的
    xmlf
        97
    xmlf   299 天前 via Android
    1.frp 服务器服务端口仅对特定 ip 开放,家宽用 ddns 自动更新。

    2.使用 stcp 模式开放端口。

    做好以上两点,怎么还会有问题呢?
    lychs1998
        98
    lychs1998   299 天前
    劳动合同应该会有相关的赔偿条款?开除是肯定的了,赔偿肯定会有,要不要负刑事责任就看你们公司的意思了。

    在国企里办事,所有可能影响到别人的操作,都打报告让上面批准了再干。

    我也是国企,入职第一个月在公司服务器上搭建 gitlab,把代码从 SVN 转移到 git 管理,也是 leader 觉得有用+部长批准才搭建的。
    isnullstring
        99
    isnullstring   299 天前
    多手,还不用 STCP
    beingbin
        100
    beingbin   299 天前   ❤️ 1
    我要是记得没错,国家电网内网机插了手机、无线网卡好像要被罚一万吧?之前有次电脑密码改弱密码了,被内网警告,罚了 2000
    1  2  3  
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1005 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:43 · PVG 05:43 · LAX 14:43 · JFK 17:43
    ♥ Do have faith in what you're doing.