2020 年 11 月 17 日上午 11:56,小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《小米集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。
有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
This topic created in 2032 days ago, the information mentioned may be changed or developed.
 |
101
shoreywong Nov 17, 2020 via iPhone
太可怕了 还好我去不了小米
|
 |
102
hellocy Nov 17, 2020 via Android  5
AI 让员工帮它逃出内网 ᥬ😂᭄
|
 |
104
longbye0 Nov 17, 2020 6
感觉小米没 vpn
我几乎可以猜测这位 ai 实习生是为在家炼丹和转发 tensorboard 端口 |
 |
105
mxalbert1996 Nov 17, 2020 via Android
@wtks1 那我还真不知道,稳定吗?
|
 |
108
ZoeChelsea Nov 18, 2020 1
@longbye0 有 VPN,不用猜了
|
 |
109
pusheax Nov 18, 2020 1
只开个 3389,最好绑定到某个高位端口。非默认用户名+强密码。这基本上就不可能被打了。
RDP 本身就出过一个漏洞,被打下来都是弱口令。 |
 |
110
chiu Nov 18, 2020
frp 之类的不需要很大权限, 能 ping 到外网就能玩
|
 |
111
tankren Nov 18, 2020 via Android
应该很多公司都会紧急培训 IP 课程和重新学习公司规章
|
 |
112
MikeFeng Nov 18, 2020 via Android 2
不讲码德
|
 |
113
xuewuchen Nov 18, 2020 1
这实习生是实习的网管么。。否则那会有这么大的权限。。正常员工连设置页面都上不去。。还设置个毛
|
 |
114
mingl0280 Nov 18, 2020
这显然是违规的,frp 之类的拉到外网了,然后被人直接从外网给打了……
真是脑子进水不知道几吨才这么搞…… |
 |
115
lewis89 Nov 18, 2020
@xuewuchen #113 端口映射,可能没有给实习生 VPN 权限,算是正常操作吧,有的公司 VPN 内网没人管边界,可能 VPN 内网可访问的范围很大,所以没敢给实习生开通,结果就酿成这种悲剧了,其实应该普及一下 OpenVPN 的,奈何天朝对这个十分敏感..
|
 |
116
billwang Nov 18, 2020
难道内网和公网是物理联通的?那还叫啥内网,干脆叫办公网或企网得了。
|
 |
117
sth2018 Nov 18, 2020
这些疑问建议去问小米员工,人家公司的事当然他们最清楚了。
其他人全靠猜。 |
 |
118
madpecker009 Nov 18, 2020
@Xillusion 很牛批
|
 |
121
zjsxwc Nov 18, 2020
这是发现服务器被黑了才曝光的,服务器没被黑的话估计就没这实习生什么事情。
|
 |
123
zxyangyu Nov 18, 2020 1
emmm 话说原来搞模型部署测试的时候,也干过这个事情,只是没人惦记
|
 |
124
nmap Nov 18, 2020
frp+强密码有问题不?
|
 |
125
Williamwang Nov 18, 2020
@qoras #106 我也觉得有可能
|
 |
126
knightdf Nov 18, 2020
frp 只转发到 ssh 端口(只能私钥登录)的应该没事吧?
|
 |
127
yy77 Nov 18, 2020
这位实习生至少要有公司防火墙的管理员权限才行。
|
 |
128
pythonee Nov 18, 2020 1
不要在公司电脑上处理个人事务
不要私自变更公司电脑防火墙、攻击网络 |
 |
129
mm2x Nov 18, 2020
我都是家里 NAS 架设 Frps 只映射一个连接端口 然后 Frpc 不做端口映射 使用的时候直接内网地址管理 在外面需要的时候 VPN 回家。。感觉还是挺安全的。。估计这哥们用了免费的 frps 之类的东西。。怨不得别人。。
|
 |
130
daquandiao2 Nov 18, 2020
@mrzx #30 可以查看微信记录吗
|
 |
131
no1xsyzy Nov 18, 2020 1
我只开单位穿回家里的,不开家里穿到单位的
明面上说是为了网络安全 其实是摸鱼可以,远程加班不行 |
 |
133
yueryuer Nov 18, 2020
想请教下,做微信小程序本地开发这种,使用内网穿透工具安全吗,如果不用内网穿透工具应该如何方便的调试
|
|
134
no1xsyzy Nov 18, 2020
@lewis89 #33 #30 的话可以 SNI 嗅探,HTTPS 也能拿到域名。
(强行 OSI 模型应该算 5 层 session 层) 至于 FRP 不加 TLS 没意义,加了 TLS 的话不清楚 FRP 的 ALPN 是啥,单独的话握个手求个 ALPN 就清楚这是啥服务了 |
 |
135
VZXXBACQ Nov 18, 2020
请问一波,我购买了内网穿透服务(其实就是一个端口映射和 FRP 差不多,服务商可信),转发了 ssh 端口(只能公钥登录),RDP 强密码(只能用 MS 账号登陆)和 6666 端口(无服务,平时用来调试 web 的)。会被橄榄嘛?
|
|
136
VZXXBACQ Nov 18, 2020
当然这几个都是我家的,公司不敢
|
 |
137
Rheinmetal Nov 18, 2020 1
@VZXXBACQ 个人被盯上可能性小一点但是开放公网就会被扫漏洞 没有万事大吉 有一个就是倒霉
|
 |
138
ScepterZ Nov 18, 2020
实习生有 vpn 的啊,这就是个觉得自己很会玩作死玩脱的呗,大家讨论的太发散了……
|
 |
139
boris93 Nov 18, 2020 via Android
@bclerdx #85 那不也是 VPN ?除了协议不一样之外
而且我之前待过的一家单位就是用深信服 SSL VPN,感觉体验不太好 |
 |
140
feast Nov 18, 2020
FRP 这种跟公网直接暴露基本没区别了,不是很清楚很多人滥用这玩意儿的原因,可能知名度高吧
|
 |
141
jzmws Nov 18, 2020
估计是用 类似 蒲公英这样的东西
|
 |
142
tedmosby Nov 18, 2020
感觉像内鬼。
|
 |
145
dbpe Nov 18, 2020
@mxalbert1996 UDp 打洞受制于 NAT 网络类型的吧,基于证书的可以...研究下
|
 |
146
eInKLX6Kh6sS3wyc Nov 18, 2020
我见过的一个国内的“免费”frp 工具
配置文件里就有的远程桌面的端口设置 这个“免费”软件就是用来杀**猪的 比如这个:www 。chuantou 。org/frp-page tcp 端口 3389 默认就有这个配置 谁用谁悲剧 |
 |
147
mxT52CRuqR6o5 Nov 18, 2020
我就算认为自己有足够能力保证安全也不会这么做,给自己增加风险
|
 |
148
DoctorCat Nov 18, 2020
公司不让干的事情就不要干,例如未经授权做外网访问办公内网的事情,这不是技术范畴了。
用技术取巧的方式给公司带来的损失,那始作俑者不负责谁来负责?雷布斯负责么? |
 |
151
fdoctor00 Nov 18, 2020
我好奇的是怎么被发现然后被入侵的
|
|
152
mxalbert1996 Nov 18, 2020
@dbpe 打洞不成功会自动 fallback 到中转,稳定性是有保证的。
|
 |
154
yuruizhe Nov 18, 2020
公司都有 VPN,为啥要映射出去呢? ssh 直连服务器?
|
 |
155
MineDog Nov 18, 2020
平时会用 ssh 隧道连接内网的 mysql,算不上述情况啊,也会有危险?
|
 |
156
40EaE5uJO3Xt1VVa Nov 18, 2020
一直都用 stcp 模式
|
 |
157
1if5ty3 Nov 18, 2020
看大家这么一说,虽然不用 frp,但也有点虚。
赶紧加强 nas 密码,关闭无关映射。 |
 |
159
la9998372 Nov 19, 2020
真人真事,是我实验室同学室友的男朋友。。。事情挺严重的,好像已经抓起来了,要坐牢。
|
 |
164
Sp4ce Nov 19, 2020
国内很多企业的内网可以说不设防的,哪怕划好 ACL 都不会出太大问题,这位实习生大概率是 FRP 做了穿透导致攻击者通过他的跳板机攻击了公司内网,至于怎么查的,一般互联网企业都会有类似于 IDS 、IPS 、态势感知类的安全设备,对于 FRP 等穿透类应用可以做到精准识别,但是出口防火墙一般是不会做相关策略去 BAN 这些协议,也怕误伤
|
|
165
xuewuchen Nov 20, 2020
@lewis89 之前做过一阵时间的网络管理,可以很明确的说,这种情况就是小米自己的网络管理有问题。这种情况可能是这个人远程办公之类的,将电脑开通了 VPN,然后他可以在外网通过 VPN 连接到这个电脑,而这个电脑在公司网内。
如果有人通过 VPN 连接到了他的电脑,就可以通过它的电脑访问内网了。 但是如果是单纯的端口映射,是不应该有这个权限的。 |
|
166
dbpe Nov 21, 2020
@mxalbert1996 我晚上试了下...大概知道了是什么类型的了(VPN)..不过如果我想让我本机的服务暴露出去(微信等开发的联调),貌似这个工具还不能直接做到..需要类似 nginx 的转发...可以这么理解么
|
|
167
mxalbert1996 Nov 21, 2020 via Android
@dbpe 能做到,在 config.yml 的 inbound 部分设置。
|
|
168
dbpe Nov 22, 2020
@mxalbert1996 希望大佬能指点下.... inbound 我的理解就是入站..具体到那个节点...是不知道的吧,难道会在全节点广播?
|
|
169
mxalbert1996 Nov 22, 2020 via Android
|
|
170
dbpe Nov 23, 2020
@mxalbert1996
我举个例子 ` inbound: # Allow icmp between any nebula hosts - port: any proto: icmp host: any ` 这里的 host 我认为是入站来源的 Ip....那么设置成具体的 Ip 的,那么应该只允许这个 ip 的请求,那么转发不应该是这里把? 应该在 outbound 里面吧? |
|
171
mxalbert1996 Nov 23, 2020 via Android
@dbpe 出站规则默认就是全部允许,也没有必要限制。我不知道你说的转发是什么,这里不存在什么转发,就是一个适用于 Nebula 内网的防火墙而已,默认规则只允许 ICMP 协议(也就是 ping )入站,你自己增加你需要的协议和端口(或者你想省事的话也可以允许所有)以后就可以从别的节点连这台机器了 。
|
|
172
mxalbert1996 Nov 23, 2020 via Android
@dbpe 另外 host 并不是 IP,这在配置文件的注释里都有。
|
 |
173
wslzy007 Nov 23, 2020
省省吧。。。穿透都开放端口到外网了,逻辑上讲和裸奔没啥区别,要不防火墙用来干嘛的?
1 、tob 直接使用 vpn,主要是可控,任何企业都不希望未经允许的网路访问。 2 、toc 最好是“内网”到“内网”的模式,一定不能在外网开任何访问口子(各种教训还不算惨痛吗)。须做到只有自己能随时使用自己私有网络(或者点对点的授权他人访问) 或许是时候试试新的玩具了,sg 了解一下: github.com/lazy-luo/smarGate |
 |
174
cnonymous Dec 2, 2020
我就是用 frps 把公司的网络映射到公网的人... 刚刚赶紧把路由器上的 3389 关了。
|
 |
177
UchihaJay Dec 13, 2020
我只关心是工具的 bug,还是自己安全意识不够,还是说开放的服务本身没有防护。
如果是工具 bug 这就很危险了,frp 这些都可能中招,如果是安全意识不够或者服务本身的问题,比如 rdp,下一条新闻吧。 |
 |
178
linux007 Jan 21, 2021
@dbpe @mxalbert1996 认真地问一下,这次事件跟 nubul.a 有关系吗?
|
|
179
mxalbert1996 Jan 21, 2021 via Android
@linux007 不知道你在说什么。
|
 |
180
jinsongzhao Mar 2, 2021
员工用向日葵, frp,包括 QQ 无人值守远程桌面,这些都太容易操作了, 设置个复杂密码,就自己用,也没法管.被开除, 关键是,导致不法分子入侵,既然都证明是不法分子, 说明监控到下载重要文件到外网使用了, 而且不是本人.
|
 |
181
openp2p Dec 3, 2021
把内网端口映射到公网是非常危险的,相当于开了一扇门。出事了,不法分子是否通过那扇门进来的并不重要。反正屎盆子会被扣上
|
Select Language