V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
NerverLibis
V2EX  ›  Linux

PHP 转运维遇到的难事

  •  
  •   NerverLibis · 2020-01-06 19:19:36 +08:00 · 7743 次点击
    这是一个创建于 1807 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的本地环境:openssl1.1.1d + nginx 1.17.5,后续升级到 libressl。 已卸载旧版本 openssl httpd 等无关软件。 我本地早就设了 2048 的 key,并且禁用一切 DH 算法。

    上个月机房漏洞扫描,检测出两个漏洞,要求整改,并对主机进行了下线处理。
    1.服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) [原理扫描] 
    扫描工具绿盟,建议解决方式为 nginx 升级到 0.8.x+
    
    2.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 [原理扫描] 
    绿盟建议为设一个 2048 位的 key。
    
    即便 nginx 关闭 443 端口,机房仍然说主机 443 已开启,能扫到 https 漏洞。
    
    百思不得其解,机房坚称自己无问题,要我方签署明知有漏洞责任书,才给开通主机。
    
    求大佬指点下如何解决。
    
    当 nginx 关闭 443 端口时,机房有时候说我 443 是关的,有时候说我是开的,没谱……
    当使用 nginx 端口 443 作为普通接口时,仍然说是 https 漏洞。
    
    43 条回复    2020-01-09 01:03:15 +08:00
    hefish
        1
    hefish  
       2020-01-06 21:20:23 +08:00
    这些扫描感觉都是根据版本号判断的,有些补上了漏洞,它们也不管。
    Greenm
        2
    Greenm  
       2020-01-06 21:44:18 +08:00 via iPhone
    明确告诉你,就是绿盟的扫描器垃圾,这样明显的误报也能报出来
    zjsxwc
        3
    zjsxwc  
       2020-01-06 22:00:38 +08:00 via Android
    破事真多,换机房不行吗
    NerverLibis
        4
    NerverLibis  
    OP
       2020-01-06 22:03:02 +08:00
    @hefish 我已经修改了 openssl 的 s_client 的 C 扩展,关闭了重协商,对方还说有这个漏洞,费解,而且我压根没开 443……
    NerverLibis
        5
    NerverLibis  
    OP
       2020-01-06 22:04:06 +08:00
    @zjsxwc 政务云,不能换,不能调,只能……
    NerverLibis
        6
    NerverLibis  
    OP
       2020-01-06 22:35:30 +08:00
    @Greenm 绿盟的防火墙,华为的路由器,微软的 SAS,怎么就成这样了,唉
    realpg
        7
    realpg  
       2020-01-06 23:16:39 +08:00
    该送礼就送礼就完事了
    realpg
        8
    realpg  
       2020-01-06 23:16:49 +08:00
    该买人家要你买的软件你就买
    hasdream
        9
    hasdream  
       2020-01-07 02:24:00 +08:00 via Android
    我遇到过说 nginx 有漏洞让我升级,我没升级,隐藏版本号,别人就不要求整改了。 扫描器都是根据版本查 cve 漏洞。
    NerverLibis
        10
    NerverLibis  
    OP
       2020-01-07 02:46:53 +08:00 via iPhone
    @hasdream 问题我没开 443,机房非说我开了,还让我写承诺书,明知道自己主机有漏洞仍然上线,承担行政责任,绿盟的锅强行要我背
    NerverLibis
        11
    NerverLibis  
    OP
       2020-01-07 02:48:28 +08:00 via iPhone
    @realpg 懒得动,服务器关就关呗,破东西不好用,走行政投诉招标局
    Showfom
        12
    Showfom  
       2020-01-07 02:48:34 +08:00   ❤️ 2
    还有个很傻逼的原因可能大家都会忽略,可不可能是机房给输错 IP 了,你的 IP 和真有漏洞的 IP 很像,然后给弄混淆了

    别笑,这事情真发生过很多次
    MrUser
        13
    MrUser  
       2020-01-07 08:49:46 +08:00
    端口的问题是不是因为防火墙没有关闭 443,
    虽然 nginx 不使用 443,但 443 可能还是对外开放着,只是这个端口上可能没有提供服务的程序
    ycookie
        14
    ycookie  
       2020-01-07 09:25:11 +08:00
    @NerverLibis 问个题外话,转运维,工资降多少?
    NerverLibis
        15
    NerverLibis  
    OP
       2020-01-07 09:43:19 +08:00 via iPhone
    @MrUser 绿盟只能在防火墙关闭的时候使用,所以全端口都应是开放的…当没应用监听 443 时,也不应出现 https 漏洞,因为没握手
    NerverLibis
        16
    NerverLibis  
    OP
       2020-01-07 09:43:33 +08:00 via iPhone
    @ycookie 降 2000
    NerverLibis
        17
    NerverLibis  
    OP
       2020-01-07 10:05:01 +08:00
    @Showfom 漏扫报告是经常给错,IP 还是对的,此机房下所有服务器都有 DH 公钥过弱漏洞,但是机房就说自己没错,没漏洞,睁眼说瞎话,我也不知道怎么办了
    Songxwn
        18
    Songxwn  
       2020-01-07 10:06:37 +08:00   ❤️ 1
    开发居然转运维,当背锅侠吗?
    NerverLibis
        19
    NerverLibis  
    OP
       2020-01-07 10:13:06 +08:00
    @Songxwn 冷冬恰饭,难,2019 年失业三个月,换了四家公司,精准投了至少 500 份简历,全北京投遍没有活路,语言是 PHP
    lvzhiqiang
        20
    lvzhiqiang  
       2020-01-07 10:19:49 +08:00
    让他给扫描报告你看看,详细的报告,报告 IP 之类信息。 不然凭嘴说能确定是不是你的服务器?
    NerverLibis
        21
    NerverLibis  
    OP
       2020-01-07 10:38:58 +08:00
    @lvzhiqiang 是我的 IP,但是没开的端口报错
    PolarBears
        22
    PolarBears  
       2020-01-07 10:50:47 +08:00
    整改的话就正常整改吧,然后添加防火墙规则只允许自己单位的 IP 段访问,如果必须通过政务云的堡垒机来访问控制主机的话,也可以想想办法把他搞通到本地可以不通过堡垒机连接.
    TanLeDeDaNong
        23
    TanLeDeDaNong  
       2020-01-07 16:11:26 +08:00
    和老哥不一样的是,我是离职大休 6 个月出来发现大清亡了,果断三线运维恰饭。
    lvzhiqiang
        24
    lvzhiqiang  
       2020-01-07 16:23:29 +08:00
    @NerverLibis 最好详细看看漏洞报告,一般报告会有修复建议的。按照修复建议操作,基本上就没问题了。
    NerverLibis
        25
    NerverLibis  
    OP
       2020-01-07 16:33:02 +08:00
    @lvzhiqiang 绿盟给的解决方法也算是简洁粗暴,且无用。在本地 nginx 版本为 1.17.5 的情况下,给我提示 10 年前的版本……
    Nginx 解决办法:
    0.7.x 升级到 nginx 0.7.64
    0.8.x 升级到 0.8.23 以及更高版本。
    http://nginx.org/en/download.html
    Showfom
        26
    Showfom  
       2020-01-07 17:21:47 +08:00 via iPhone
    @NerverLibis 哦 那简单,直接把机房的 ip 用 iptables 屏蔽掉 机房 ip 会找吧?
    NerverLibis
        27
    NerverLibis  
    OP
       2020-01-07 19:12:55 +08:00 via iPhone
    @Showfom 不开防火墙 机房不给扫描…
    kawowa
        28
    kawowa  
       2020-01-07 19:31:59 +08:00 via Android
    同样遇到过这类事情,是在最后验收的时候,甲方会请等保评测的人过来扫漏洞,然后说要 tomcat 版本在多少多少以上才能避免漏洞。
    但问题是我明明是 Apache 官网上下载的最新版...
    解决方法同上,隐藏版本号即可。
    Showfom
        29
    Showfom  
       2020-01-07 21:15:06 +08:00
    @NerverLibis 那你编译个 nginx 把 nginx 改成其他的名称 比如什么 saonima 版本号 233
    NerverLibis
        30
    NerverLibis  
    OP
       2020-01-08 02:04:48 +08:00 via iPhone
    @Showfom nginx 是编译的最新版本,版本号 off 过了,通信隐藏不掉 web 服务器的,协议可以看到 http 头 服务器类型,明天我准备去机房物理停机,再查再看
    NerverLibis
        31
    NerverLibis  
    OP
       2020-01-08 02:05:57 +08:00 via iPhone
    @kawowa 专家评审 等保测评 等保备案都过了。
    msg7086
        32
    msg7086  
       2020-01-08 02:32:14 +08:00
    @NerverLibis #30 编译的时候没改源代码吗?怎么可能隐藏不掉 Web 服务器。

    https://g.x86.men/root/nginx-pika/commit/274a5d7e0c196008d2fed248c6b6aa93b3248771
    Showfom
        33
    Showfom  
       2020-01-08 08:29:26 +08:00 via iPhone
    @NerverLibis 可以隐藏的 自己改源码 改成楼上的 IIS
    2379920898
        34
    2379920898  
       2020-01-08 08:43:59 +08:00
    可以换个城市啊,
    lvzhiqiang
        35
    lvzhiqiang  
       2020-01-08 09:13:54 +08:00
    @NerverLibis 那没办法,他们的漏洞策略陈旧。很好奇,他们没更新策略的么?
    NerverLibis
        36
    NerverLibis  
    OP
       2020-01-08 09:18:11 +08:00 via iPhone
    @lvzhiqiang 机房分包,防火墙 路由器 sas 机房运维由四家公司分别负责
    xenme
        37
    xenme  
       2020-01-08 09:21:41 +08:00 via iPhone
    上有政策下有对策

    扫描大多就是根据特征匹配,发现你用了啥,某个版本就直接报,所以针对性改改伪装下就好了,自己确定补丁和漏洞打了就行
    lc7029
        38
    lc7029  
       2020-01-08 09:43:11 +08:00
    一般来说漏扫是根据软件版本号扫描,就算修复了漏洞,软件版本不变一样会报漏洞。
    扫描器 IP 不能墙掉,我们曾在交换机上做了 ACL,deny 掉漏扫的流量,被找过来了。。。
    另一种可能就是楼上说的,机房给错 IP 了。
    另外,建议 LZ 找专业运维咨询,开发和运维的思路差别很大。
    NerverLibis
        39
    NerverLibis  
    OP
       2020-01-08 17:49:46 +08:00
    @lc7029 @xenme @vzhiqiang @Showfom @msg7086 @kawowa @lvzhiqiang @MrUser @Songxwn @Greenm @hefish
    问题已解决,今天把服务器关了,仍显示端口开放。
    于是机房运维给我解释说 IP 地址冲突,给我换宽带,具体原因他想办法抓包查看云云……
    msg7086
        40
    msg7086  
       2020-01-08 17:52:11 +08:00
    @NerverLibis 这机房也……太水了吧,交换机上不做保护吗……偷 IP 还行……
    hefish
        41
    hefish  
       2020-01-08 20:21:33 +08:00
    @NerverLibis 卧槽,有一种想打人的冲动。
    jugelizi
        42
    jugelizi  
       2020-01-08 21:28:47 +08:00
    哈哈
    同样给政|-府系统维护
    然后 他们有个二级域名另外一家的系统爆漏--洞
    整改通知书发我这里来了
    lc7029
        43
    lc7029  
       2020-01-09 01:03:15 +08:00
    @NerverLibis 日。。。这机房这么水。。。居然不做隔离的?划个子网也行啊。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5476 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 08:50 · PVG 16:50 · LAX 00:50 · JFK 03:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.