我有一个 redis 数据库开放外网,今天收到条短信说我的数据库密码是弱密码。 虽然加了星号,但可以通过前后确定是我的密码。 问题来了,阿里云 or 监管部门是如何得知我的密码? 直接扫了我的配置文件 or 暴力端口试密码? 虽然我的密码不是大小写一堆字符的强密码, 但至少也是 15 位的字母数字组合,也不是简单的那种。
1
xppppsfg 2020-12-16 18:02:17 +08:00
|
2
cominghome 2020-12-16 18:05:31 +08:00
问就是工信部监管通知
|
3
Raynard 2020-12-16 18:07:17 +08:00
根据密码法、网安法,你的密码 xx 部门都是知道的
|
4
laoyur 2020-12-16 18:10:44 +08:00
厉害了,redis 二进制改名,配置文件改地方,它还能不能找出你的密码来?(我理解这玩意应该是自动化的
|
5
westoy 2020-12-16 18:37:04 +08:00 1
如果你远程连接过, 并且(redis<6 && 没跑在 tls 代理后面) || (reids>=6 && 没有打开 tls), 定向的流量审计工具是很容易拦到你明文密码的
当然你不要用那么震惊的语气去问那个都知道答案的问题啊, 以前严打的时候都要填表的, 密码都要交上去的好嘛......... |
6
ditel 2020-12-16 18:39:54 +08:00 via Android
云服务商打个密码的 log,都知道的
|
8
lalavila OP @ditel 服务商拿密码当然很容易,我的疑问是,这样做是不是明显是不合理的。
对一些安全敏感型商家来说,数据库里的东西就是他们的命脉。万一一个不小心在阿里或哪方手里泄露了,不是很要命? 而且别人有你数据库的密码,怎么想都是一件很怪异的事情吧。 |
9
wunonglin 2020-12-16 18:54:41 +08:00
作为服务的提供方,人家是知道一切的。
|
10
falcon05 2020-12-16 18:56:57 +08:00 via iPhone
说真的,放国内服务器就要做好随时被端的打算,数据库密码这些更不在话下。
|
12
westoy 2020-12-16 19:07:40 +08:00
|
14
westoy 2020-12-16 19:26:35 +08:00
@iConnect
我不是指这个, 我指封机房啊 我当时服务器在漕宝的, 几次严打整个机房前后封了几次加起来二三十天吧, 有一次还是和 javaeye 一批的........我当时在的那家 IDC 吓的非企业业务全部清退, 企业网站有互动内容比如留言簿的要求全部下掉, 不然也清退 当时万网稳的很..... |
15
westoy 2020-12-16 19:37:17 +08:00 1
顺便再八卦几个 IDC 和大客户真实的纠纷
egou 前身 buyren, 当年托管在上海一家 IDC, 服务器有几条内存不易而飞, 站长和那家 IDC 负责人撕的很厉害 btchina 曾经有几台服务器放在苏州一家 IDC, 通过代理办的业务, 然后那个代理和那家 IDC 发生了经济纠纷, 那家 IDC 大过年的发难把 btchina 的服务器停掉要求再付一笔钱给他们,btchina 也和那家 IDC 撕的很厉害 |
16
Bijiabo 2020-12-16 19:41:20 +08:00
你要知道阿里是没有底线的,不要相信他们的人和系统
|
17
hoyixi 2020-12-16 19:47:29 +08:00 1
用国内(甚至国人)的服务,一定要备份好。 因为 “你的东西突然不属于你了" 情况还是挺常见的
|
19
zxCoder 2020-12-16 20:06:31 +08:00
@lalavila 这就是学术界水论文的一个方向啊,什么同态加密之类的,让服务提供商保存用户的密文数据,又不会影响计算。。。。然而,那个傻 叉服务提供商会这么做。
|
20
opengps 2020-12-16 20:08:39 +08:00 via Android
弱口令是公网已经泄露的数据,或者是使用常见密码能成功通过的数据
|
21
opengps 2020-12-16 20:09:52 +08:00 via Android
我以前常用的 Admin.123 ,大小写数字字符都具备吧,上个月一台新买的客户测试机刚因此中了病毒,因为这个密码其实很多人都在用
|
22
weifan 2020-12-16 21:55:31 +08:00
WC,上面的人真的是骨子里就想着怎么监控别人...
|
23
azh7138m 2020-12-17 01:52:10 +08:00
一般是弱口令扫到了。。。。
我的 ssh 是 1w+ 端口,每天也被扫无数遍密码 fail2ban 日志都快要吃满硬盘了 |
24
akira 2020-12-17 03:02:15 +08:00
redis 端口开放外网。。你也是心大。。
通过你的描述,个人猜测事情流程是这样的 国家某安全部门通过批量扫描,发现了某台服务器的 redis 端口暴露在公网,然后随便试了几个密码进去了。再然后就是通知服务器服务商,通知到对应的用户。 |
25
nuk 2020-12-17 04:13:48 +08:00
密码是阿里拿到的,然后要上报监管部门,监管部门统一管理密码。
监管部门会花时间去扫描服务器?你想太多了,微信还说不保存聊天记录呢。 密码法的根本原则不记得了? |
26
johnjiang85 2020-12-20 23:44:47 +08:00
这种扫描一般不会拿明文扫的,一般是用泄露库的密码尝试登陆,或者自己使用泄漏库的密码按照业务的加密规则(如最简单的加盐摘要)运算后再和存储的加密密码对比,大公司现在基本很少存明文密码的,当然肯定还是有不少公司会存。
|
27
beautwill 2020-12-21 14:20:21 +08:00
eW91aHVpZmFueGlhbiB2eDpiZWF1dHdpbGw=
|
28
mytsing520 2020-12-25 01:51:17 +08:00
弱口令
互联网已知的泄漏的密码拿来做猜解 上面都算是字典的方式。。。 方式有很多,不一定是服务商嗅探密码 |