V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
markgor
V2EX  ›  信息安全

吐槽 G01,希望坑里的人数不多吧

  •  
  •   markgor · 317 天前 · 3422 次点击
    这是一个创建于 317 天前的主题,其中的信息可能已经有所发展或是发生改变。
    0x01 故事的背景:
    20 年的时候,之前一直用安全狗旗下的防护软件,但后来由于偶尔连接不上控制中心或服务失效要手动重启,并且当时要求进行网安备案,在网安备案的页面中看到了个打着公 an 第 xxx 研究所出品的防护产品网防 G01 ,对比了下功能刚好足够平替,并且有公 An 做背书的,打着专为中小企定做的旗号....就直接替换掉了。

    0x02 故事经历:
    使用至今,唯一缺陷就是资源占用比核心业务占用还要高,但是想想,老罗的那句话,又不是不能用,所以....

    0x03 风暴来临前的阳光:
    年前突然收到云主机新的告警,IOPS 超出 3500 ,然后 3 分钟左右推送告警恢复,dog sun,这个业务机上的业务几年了都没怎么变更,是什么导致的呢..........
    没办法,只能爬上去蹲点查看具体是哪个进程再虐待硬盘,此时就像盖伦一样躲在草丛中打开 IOTOP 查看,但看了半天啥都没有,只能灰溜溜地关闭,心想可能是误报。
    次日,又是 12 点左右收到了告警,此时急不及待打开终端查找谜一样的答案,最终从业务日记翻到系统服务日记,无法精准定位问题,但发现可能和之前一个停了的业务有关(对方服务停了,域名下架了,但是我们这边还没下架该服务,导致日志出现一堆 域名解释失败)。当时心里百花齐放,真 tm 开心,以为找对了 G 点,捅一下就能解决问题了,遂马上把相关业务代码下架了,继续在草丛中狗了一天,还没收到任何告警,心里想着终于可以美美地过一个年了,然后就不当一回事。

    0x04 风暴来临了:
    年 30 喝多了,年初一还窝在被窝中,突然熟悉的陌生人发来了消息....IOPS 突发 3500........我内心一万只草泥马飞快地奔跑着,不过想想,之前不几十秒就恢复了,当监控给我的拜年信息好了,谁知道噩梦终究降临,收到现场业务信息,服务挂了不可用.....马上爬起来开电脑准备进入战场,刚连上 wifi 刷好牙洗好脸后收到了业务撤回信息......恍然发现老人常说的起床第一件事就是刷牙洗脸原来真实大智慧。但反正都开了电脑,就进去看看啥情况,不过这次也和之前一样,什么案发现场都没留下......

    0x05 这就完了?
    年初三,由于手上任务比较多,还是选择回公司上班,顺带梳理下之前收集的信息,然后一个个服务爬一个个服务找,突然想到,有没有可能内存用完了走了 swap 导致的异常呢....
    查看了下,发现内存还有 400MB ,再查看内存占用大户,发现了 gov_defence_agent 占用了 45%以上的内存,再进一步设想,还是不设想了,直接爬进去查查 gov_defence_agent 相关日志吧....
    接着发现,通过 tail -f 查看目录下的文件,有一个文件分快的刷屏,其余文件 1 分钟写入几条信息,一看信息全是 域名解释失败或连接失败。
    如梦初醒般地我马上打开 G02 官网,发现打不开了,通过百度也只能查看到历史的说明,oh 对了,还有个 gitbook 的页面是能打开的,接着再打开网 an 备案的官网,发现中小企业安防...还在,点进去却是另一个产品..............
    按还在的 gitbook 安装验证,telnet 几个服务用到的域名,全都失效。猜测大概率是 G01 下架了,换了另一个服务上。
    诶~以后只要打着和 GOV 相关的东西,能不碰还是不碰了,说停就停也不出个提前通知。

    给再用 G01 的伙伴们一个提醒吧,如果你的服务器装了 G01 ,并且时不时出现 IOPS 异常飚高或服务间接性无法使用,直接把 G01 停了,你会发现春天来了。
    15 条回复    2024-02-19 11:23:38 +08:00
    Soo0
        1
    Soo0  
       317 天前 via iPhone   ❤️ 4
    没想到真有人用
    fatekey
        2
    fatekey  
       317 天前
    G01 说是 XX 研究所出品,但是我怀疑是 OEM 的奇安信云锁,报价好像还比云锁高?
    Wyearn
        3
    Wyearn  
       317 天前 via iPhone
    @fatekey 不是奇安信的,青藤云的
    markgor
        4
    markgor  
    OP
       317 天前
    @fatekey 云锁的,100%确认
    markgor
        5
    markgor  
    OP
       317 天前
    @Wyearn 青藤云应该是现在的那个吧,之前的网防 G01 就是云锁定制版
    markgor
        6
    markgor  
    OP
       317 天前
    @Soo0 毕竟在中小企业中,除了开源的 waf 外,只有服务器安全狗和网防 G01 实用功能比较多;
    至于云锁之类的,之前是我没了解到。
    而且 G01 除了资源占用有点夸张外,也算是“免费使用”了 3 年多了,只是真的意想不到 GOV 提供的也是说停就停没任何通知......
    phrack
        7
    phrack  
       317 天前 via iPhone
    waf 吗?长亭之前出了个免费版的什么 waf 听说口碑还可以
    just1
        8
    just1  
       317 天前
    neroxps
        9
    neroxps  
       316 天前 via iPhone
    这种事在我司,基本就是客户上班发现炸了才告诉我们
    markgor
        10
    markgor  
    OP
       316 天前
    @neroxps 偶现的还好吧,毕竟持续时间也不算太长。
    neroxps
        11
    neroxps  
       316 天前 via iPhone
    @markgor emm 我司的 saas 是炸了半天公司里的运维也不知道,客户说用不了才知道
    xlh001
        12
    xlh001  
       315 天前
    云锁 oem 版
    mytsing520
        13
    mytsing520  
       315 天前
    有很多可供选择的产品,收费的也有。
    另外个人建议,WAF 这种东西不应该放业务服务器
    fearMAN
        14
    fearMAN  
       311 天前
    这东西用过的懂得都懂,也就政府单位用这个
    markgor
        15
    markgor  
    OP
       311 天前
    @fearMAN 也是抱着这个心理,有问题也有人垫底。

    @mytsing520 明白,但也要考虑实际情况,公司接受肯定独立比较稳妥或最方便直接用云 waf 或 ids 之类,但......

    @neroxps 之前云服务挂过(底层服务),所以对于资源极限占用都添加了告警信息,短信和微信推送。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1036 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:41 · PVG 04:41 · LAX 12:41 · JFK 15:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.