V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wudidangteng
V2EX  ›  信息安全

小米公司员工私自将公司内网端口映射到公网

  •  2
     
  •   wudidangteng · 2020-11-17 14:36:15 +08:00 · 43161 次点击
    这是一个创建于 1472 天前的主题,其中的信息可能已经有所发展或是发生改变。
    2020 年 11 月 17 日上午 11:56,小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《小米集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。


    有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
    181 条回复    2021-12-03 16:30:13 +08:00
    1  2  
    shoreywong
        101
    shoreywong  
       2020-11-17 23:19:27 +08:00 via iPhone
    太可怕了 还好我去不了小米
    hellocy
        102
    hellocy  
       2020-11-17 23:30:42 +08:00 via Android   ❤️ 5
    AI 让员工帮它逃出内网 ᥬ😂᭄
    pydiff
        103
    pydiff  
       2020-11-17 23:32:49 +08:00 via iPhone
    @mrzx 用向日葵远程自己的电脑都不行?
    longbye0
        104
    longbye0  
       2020-11-17 23:37:17 +08:00   ❤️ 6
    感觉小米没 vpn

    我几乎可以猜测这位 ai 实习生是为在家炼丹和转发 tensorboard 端口
    mxalbert1996
        105
    mxalbert1996  
       2020-11-17 23:37:47 +08:00 via Android
    @wtks1 那我还真不知道,稳定吗?
    qoras
        106
    qoras  
       2020-11-17 23:52:19 +08:00
    @longbye0 实习生很可能不给 VPN 权限, 小米这么大的公司不可能没有 VPN 的
    longbye0
        107
    longbye0  
       2020-11-18 00:02:42 +08:00
    @qoras 那是可能。
    ZoeChelsea
        108
    ZoeChelsea  
       2020-11-18 00:19:53 +08:00   ❤️ 1
    @longbye0 有 VPN,不用猜了
    pusheax
        109
    pusheax  
       2020-11-18 00:27:01 +08:00   ❤️ 1
    只开个 3389,最好绑定到某个高位端口。非默认用户名+强密码。这基本上就不可能被打了。
    RDP 本身就出过一个漏洞,被打下来都是弱口令。
    chiu
        110
    chiu  
       2020-11-18 00:27:40 +08:00
    frp 之类的不需要很大权限, 能 ping 到外网就能玩
    tankren
        111
    tankren  
       2020-11-18 07:41:08 +08:00 via Android
    应该很多公司都会紧急培训 IP 课程和重新学习公司规章
    MikeFeng
        112
    MikeFeng  
       2020-11-18 07:42:41 +08:00 via Android   ❤️ 2
    不讲码德
    xuewuchen
        113
    xuewuchen  
       2020-11-18 07:53:27 +08:00   ❤️ 1
    这实习生是实习的网管么。。否则那会有这么大的权限。。正常员工连设置页面都上不去。。还设置个毛
    mingl0280
        114
    mingl0280  
       2020-11-18 08:04:09 +08:00
    这显然是违规的,frp 之类的拉到外网了,然后被人直接从外网给打了……
    真是脑子进水不知道几吨才这么搞……
    lewis89
        115
    lewis89  
       2020-11-18 08:17:45 +08:00
    @xuewuchen #113 端口映射,可能没有给实习生 VPN 权限,算是正常操作吧,有的公司 VPN 内网没人管边界,可能 VPN 内网可访问的范围很大,所以没敢给实习生开通,结果就酿成这种悲剧了,其实应该普及一下 OpenVPN 的,奈何天朝对这个十分敏感..
    billwang
        116
    billwang  
       2020-11-18 08:30:03 +08:00
    难道内网和公网是物理联通的?那还叫啥内网,干脆叫办公网或企网得了。
    sth2018
        117
    sth2018  
       2020-11-18 08:37:18 +08:00
    这些疑问建议去问小米员工,人家公司的事当然他们最清楚了。
    其他人全靠猜。
    madpecker009
        118
    madpecker009  
       2020-11-18 08:41:06 +08:00
    @Xillusion 很牛批
    ihipop
        119
    ihipop  
       2020-11-18 08:43:44 +08:00 via Android
    @mrzx 这些网站不是 HTTPS 的吗?
    HFX3389
        120
    HFX3389  
       2020-11-18 08:58:19 +08:00
    @ihipop #119 HTTPS 也可以搞中间人呀,很多公司的电脑的根证书信任不都有公司的根证书用来解密 HTTPS 的吗
    zjsxwc
        121
    zjsxwc  
       2020-11-18 09:03:38 +08:00
    这是发现服务器被黑了才曝光的,服务器没被黑的话估计就没这实习生什么事情。
    pydiff
        122
    pydiff  
       2020-11-18 09:42:20 +08:00
    @zjsxwc 可能内网服务器用了弱密码的原因,比如我这边内网服务器都是 123456 之类的,很容易破
    zxyangyu
        123
    zxyangyu  
       2020-11-18 09:59:21 +08:00   ❤️ 1
    emmm 话说原来搞模型部署测试的时候,也干过这个事情,只是没人惦记
    nmap
        124
    nmap  
       2020-11-18 10:09:55 +08:00
    frp+强密码有问题不?
    Williamwang
        125
    Williamwang  
       2020-11-18 10:15:28 +08:00
    @qoras #106 我也觉得有可能
    knightdf
        126
    knightdf  
       2020-11-18 10:36:36 +08:00
    frp 只转发到 ssh 端口(只能私钥登录)的应该没事吧?
    yy77
        127
    yy77  
       2020-11-18 10:42:54 +08:00
    这位实习生至少要有公司防火墙的管理员权限才行。
    pythonee
        128
    pythonee  
       2020-11-18 10:47:28 +08:00   ❤️ 1
    不要在公司电脑上处理个人事务
    不要私自变更公司电脑防火墙、攻击网络
    mm2x
        129
    mm2x  
       2020-11-18 10:52:00 +08:00
    我都是家里 NAS 架设 Frps 只映射一个连接端口 然后 Frpc 不做端口映射 使用的时候直接内网地址管理 在外面需要的时候 VPN 回家。。感觉还是挺安全的。。估计这哥们用了免费的 frps 之类的东西。。怨不得别人。。
    daquandiao2
        130
    daquandiao2  
       2020-11-18 11:31:18 +08:00
    @mrzx #30 可以查看微信记录吗
    no1xsyzy
        131
    no1xsyzy  
       2020-11-18 11:32:42 +08:00   ❤️ 1
    我只开单位穿回家里的,不开家里穿到单位的
    明面上说是为了网络安全
    其实是摸鱼可以,远程加班不行
    no1xsyzy
        132
    no1xsyzy  
       2020-11-18 11:34:54 +08:00   ❤️ 1
    @nmap FRP 的 frpc -> frps 链接有单独的 TLS 选项,只加个密码恐怕不会加密流量。
    yueryuer
        133
    yueryuer  
       2020-11-18 11:38:14 +08:00
    想请教下,做微信小程序本地开发这种,使用内网穿透工具安全吗,如果不用内网穿透工具应该如何方便的调试
    no1xsyzy
        134
    no1xsyzy  
       2020-11-18 11:41:48 +08:00
    @lewis89 #33 #30 的话可以 SNI 嗅探,HTTPS 也能拿到域名。
    (强行 OSI 模型应该算 5 层 session 层)
    至于 FRP 不加 TLS 没意义,加了 TLS 的话不清楚 FRP 的 ALPN 是啥,单独的话握个手求个 ALPN 就清楚这是啥服务了
    VZXXBACQ
        135
    VZXXBACQ  
       2020-11-18 11:44:55 +08:00
    请问一波,我购买了内网穿透服务(其实就是一个端口映射和 FRP 差不多,服务商可信),转发了 ssh 端口(只能公钥登录),RDP 强密码(只能用 MS 账号登陆)和 6666 端口(无服务,平时用来调试 web 的)。会被橄榄嘛?
    VZXXBACQ
        136
    VZXXBACQ  
       2020-11-18 11:45:17 +08:00
    当然这几个都是我家的,公司不敢
    Rheinmetal
        137
    Rheinmetal  
       2020-11-18 11:56:48 +08:00   ❤️ 1
    @VZXXBACQ 个人被盯上可能性小一点但是开放公网就会被扫漏洞 没有万事大吉 有一个就是倒霉
    ScepterZ
        138
    ScepterZ  
       2020-11-18 12:00:56 +08:00
    实习生有 vpn 的啊,这就是个觉得自己很会玩作死玩脱的呗,大家讨论的太发散了……
    boris93
        139
    boris93  
       2020-11-18 13:28:41 +08:00 via Android
    @bclerdx #85 那不也是 VPN ?除了协议不一样之外
    而且我之前待过的一家单位就是用深信服 SSL VPN,感觉体验不太好
    feast
        140
    feast  
       2020-11-18 13:36:49 +08:00
    FRP 这种跟公网直接暴露基本没区别了,不是很清楚很多人滥用这玩意儿的原因,可能知名度高吧
    jzmws
        141
    jzmws  
       2020-11-18 14:00:00 +08:00
    估计是用 类似 蒲公英这样的东西
    tedmosby
        142
    tedmosby  
       2020-11-18 14:15:45 +08:00
    感觉像内鬼。
    troycode
        143
    troycode  
       2020-11-18 14:20:21 +08:00
    @yueryuer 不跟这个是一个道理吗
    feast
        144
    feast  
       2020-11-18 14:32:47 +08:00 via Android
    @pydiff 当小白们都在滥用 FRP 公共服务的时候 其节点很显然是黑产们重点关照的
    dbpe
        145
    dbpe  
       2020-11-18 15:50:40 +08:00
    @mxalbert1996 UDp 打洞受制于 NAT 网络类型的吧,基于证书的可以...研究下
    w99wjacky
        146
    w99wjacky  
       2020-11-18 16:36:47 +08:00
    我见过的一个国内的“免费”frp 工具
    配置文件里就有的远程桌面的端口设置
    这个“免费”软件就是用来杀**猪的

    比如这个:www 。chuantou 。org/frp-page
    tcp 端口 3389 默认就有这个配置
    谁用谁悲剧
    mxT52CRuqR6o5
        147
    mxT52CRuqR6o5  
       2020-11-18 16:40:58 +08:00
    我就算认为自己有足够能力保证安全也不会这么做,给自己增加风险
    DoctorCat
        148
    DoctorCat  
       2020-11-18 16:50:02 +08:00
    公司不让干的事情就不要干,例如未经授权做外网访问办公内网的事情,这不是技术范畴了。
    用技术取巧的方式给公司带来的损失,那始作俑者不负责谁来负责?雷布斯负责么?
    biguokang
        149
    biguokang  
       2020-11-18 17:30:31 +08:00
    @feast 我觉得和其他打洞工具来说,frp 部署在三大平台来说部署运行极其简单,可能是得益于 go 语言开发吧
    biguokang
        150
    biguokang  
       2020-11-18 17:31:27 +08:00
    @yueryuer 你不是 24 小时开着就没问题吧,不用的时候就关掉
    fdoctor00
        151
    fdoctor00  
       2020-11-18 17:38:28 +08:00
    我好奇的是怎么被发现然后被入侵的
    mxalbert1996
        152
    mxalbert1996  
       2020-11-18 18:28:56 +08:00
    @dbpe 打洞不成功会自动 fallback 到中转,稳定性是有保证的。
    geebos
        153
    geebos  
       2020-11-18 19:38:55 +08:00
    @vfxx 这种一般都属于保密信息,不能发布到外网的
    yuruizhe
        154
    yuruizhe  
       2020-11-18 19:50:40 +08:00
    公司都有 VPN,为啥要映射出去呢? ssh 直连服务器?
    MineDog
        155
    MineDog  
       2020-11-18 19:56:16 +08:00
    平时会用 ssh 隧道连接内网的 mysql,算不上述情况啊,也会有危险?
    40EaE5uJO3Xt1VVa
        156
    40EaE5uJO3Xt1VVa  
       2020-11-18 19:59:41 +08:00
    一直都用 stcp 模式
    1if5ty3
        157
    1if5ty3  
       2020-11-18 23:02:20 +08:00
    看大家这么一说,虽然不用 frp,但也有点虚。
    赶紧加强 nas 密码,关闭无关映射。
    feast
        158
    feast  
       2020-11-19 03:38:53 +08:00 via Android
    @biguokang FRP 这玩意儿按道理讲根本不配称什么内网“穿透”,反弹 shell 隧道这种名字估计才能引起这些人的警惕
    la9998372
        159
    la9998372  
       2020-11-19 09:51:11 +08:00
    真人真事,是我实验室同学室友的男朋友。。。事情挺严重的,好像已经抓起来了,要坐牢。
    ahill
        160
    ahill  
       2020-11-19 10:11:55 +08:00
    @billwang ngrok 了解一下
    DSM
        161
    DSM  
       2020-11-19 10:43:11 +08:00
    @qoras 「实习生很可能不给 VPN 权限, 小米这么大的公司不可能没有 VPN 的」
    对,我觉得这应该是正解 👍
    shellus
        162
    shellus  
       2020-11-19 14:39:49 +08:00
    @mrzx 想当然了,现在都是 https,上哪看 url 去
    jmyz0455
        163
    jmyz0455  
       2020-11-19 15:08:30 +08:00
    @la9998372 求后续判决结果。
    Sp4ce
        164
    Sp4ce  
       2020-11-19 15:08:45 +08:00
    国内很多企业的内网可以说不设防的,哪怕划好 ACL 都不会出太大问题,这位实习生大概率是 FRP 做了穿透导致攻击者通过他的跳板机攻击了公司内网,至于怎么查的,一般互联网企业都会有类似于 IDS 、IPS 、态势感知类的安全设备,对于 FRP 等穿透类应用可以做到精准识别,但是出口防火墙一般是不会做相关策略去 BAN 这些协议,也怕误伤
    xuewuchen
        165
    xuewuchen  
       2020-11-20 09:08:29 +08:00
    @lewis89 之前做过一阵时间的网络管理,可以很明确的说,这种情况就是小米自己的网络管理有问题。这种情况可能是这个人远程办公之类的,将电脑开通了 VPN,然后他可以在外网通过 VPN 连接到这个电脑,而这个电脑在公司网内。
    如果有人通过 VPN 连接到了他的电脑,就可以通过它的电脑访问内网了。
    但是如果是单纯的端口映射,是不应该有这个权限的。
    dbpe
        166
    dbpe  
       2020-11-21 00:05:08 +08:00
    @mxalbert1996 我晚上试了下...大概知道了是什么类型的了(VPN)..不过如果我想让我本机的服务暴露出去(微信等开发的联调),貌似这个工具还不能直接做到..需要类似 nginx 的转发...可以这么理解么
    mxalbert1996
        167
    mxalbert1996  
       2020-11-21 06:53:19 +08:00 via Android
    @dbpe 能做到,在 config.yml 的 inbound 部分设置。
    dbpe
        168
    dbpe  
       2020-11-22 10:41:35 +08:00
    @mxalbert1996 希望大佬能指点下.... inbound 我的理解就是入站..具体到那个节点...是不知道的吧,难道会在全节点广播?
    mxalbert1996
        169
    mxalbert1996  
       2020-11-22 23:40:48 +08:00 via Android
    @dbpe
    我没看懂你在说什么。。。
    每一台机器的内网 IP 都是你自己设置的,你想连哪一台就用哪一台机器的 IP 就好了啊。
    dbpe
        170
    dbpe  
       2020-11-23 08:42:16 +08:00
    @mxalbert1996

    我举个例子

    `
    inbound:
    # Allow icmp between any nebula hosts
    - port: any
    proto: icmp
    host: any

    `

    这里的 host 我认为是入站来源的 Ip....那么设置成具体的 Ip 的,那么应该只允许这个 ip 的请求,那么转发不应该是这里把?

    应该在 outbound 里面吧?
    mxalbert1996
        171
    mxalbert1996  
       2020-11-23 10:58:39 +08:00 via Android
    @dbpe 出站规则默认就是全部允许,也没有必要限制。我不知道你说的转发是什么,这里不存在什么转发,就是一个适用于 Nebula 内网的防火墙而已,默认规则只允许 ICMP 协议(也就是 ping )入站,你自己增加你需要的协议和端口(或者你想省事的话也可以允许所有)以后就可以从别的节点连这台机器了 。
    mxalbert1996
        172
    mxalbert1996  
       2020-11-23 11:01:22 +08:00 via Android
    @dbpe 另外 host 并不是 IP,这在配置文件的注释里都有。
    wslzy007
        173
    wslzy007  
       2020-11-23 11:27:01 +08:00
    省省吧。。。穿透都开放端口到外网了,逻辑上讲和裸奔没啥区别,要不防火墙用来干嘛的?
    1 、tob 直接使用 vpn,主要是可控,任何企业都不希望未经允许的网路访问。
    2 、toc 最好是“内网”到“内网”的模式,一定不能在外网开任何访问口子(各种教训还不算惨痛吗)。须做到只有自己能随时使用自己私有网络(或者点对点的授权他人访问)

    或许是时候试试新的玩具了,sg 了解一下:
    github.com/lazy-luo/smarGate
    cnonymous
        174
    cnonymous  
       2020-12-02 04:27:39 +08:00
    我就是用 frps 把公司的网络映射到公网的人... 刚刚赶紧把路由器上的 3389 关了。
    UchihaJay
        175
    UchihaJay  
       2020-12-13 11:16:04 +08:00
    @la9998372 有人又说是女的。。。
    UchihaJay
        176
    UchihaJay  
       2020-12-13 11:17:14 +08:00
    @longbye0 和 tensorboard 有什么关系?
    UchihaJay
        177
    UchihaJay  
       2020-12-13 11:20:44 +08:00
    我只关心是工具的 bug,还是自己安全意识不够,还是说开放的服务本身没有防护。

    如果是工具 bug 这就很危险了,frp 这些都可能中招,如果是安全意识不够或者服务本身的问题,比如 rdp,下一条新闻吧。
    linux007
        178
    linux007  
       2021-01-21 11:40:27 +08:00
    @dbpe @mxalbert1996 认真地问一下,这次事件跟 nubul.a 有关系吗?
    mxalbert1996
        179
    mxalbert1996  
       2021-01-21 21:49:12 +08:00 via Android
    @linux007 不知道你在说什么。
    jinsongzhao
        180
    jinsongzhao  
       2021-03-02 10:13:19 +08:00
    员工用向日葵, frp,包括 QQ 无人值守远程桌面,这些都太容易操作了, 设置个复杂密码,就自己用,也没法管.被开除, 关键是,导致不法分子入侵,既然都证明是不法分子, 说明监控到下载重要文件到外网使用了, 而且不是本人.
    openp2p
        181
    openp2p  
       2021-12-03 16:30:13 +08:00
    把内网端口映射到公网是非常危险的,相当于开了一扇门。出事了,不法分子是否通过那扇门进来的并不重要。反正屎盆子会被扣上
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5199 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 01:17 · PVG 09:17 · LAX 17:17 · JFK 20:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.