自己终于有了三个全职人员了,副总田健、f徐雅婷,安全管理员刀峰!
刀峰原名,李峰,渝市人,自小喜欢编程,家境富裕,从s- ds开始玩起,不管是x还是ix,as还是d,他都列列举出不少列漏洞出来。
在吃饭时间,谢重让他举几个入侵的例子。
最简单的方式是通过路由端口扫描,大部份人都没有端口意识,然后他就可以利用路由动持工具,顺着路由记录的a地址,摸到目标的机子,再扫描目标服务器的端口号,看看那些端口开了,却没有被占用!
这时通过这些端口,查看管理信息!
有些管理员开启了用户组及用户,但没有什么权限,也没有设置什么密码!因为这个用户没有什么权限,所以很多管理员忘记删除了。
这就是很好的利用对象,直接用这个用户登录,然后放置木马件,只在当前用户运行,但服务器件系统都有读的权限,不管是不是核心件!
这个时候,木马就可以记录键盘的的结果,管理员操作服务器的一举一动都会被记录下来。
这是国内常用的入侵手法,不算高明,却十分有效!
另外还有一种,从前端入侵的,这种需要分析的地方就很多,如果程序设计合理,这招很难有效果,因为数据在传输的过程中,每一次都需验校,如验校不成功,就进行业务回滚,这招需要花大量的时间去找网站的漏洞!
并且还需要一定的运气。
所以,大部分黑客都是从服务器下手的。
服务器这块,谢重的确不太懂,但说到应用,谢重也吸他们讲的,比如,禁止刷新,对js进行混合加密啊,禁止查看http头之类的。
这些都是牺牲用户体验来达到的,谢重不予采用!
另外,谢重问小吴同学,他们团队还有三位成员,什么时候来公司报到,回答是一个月以后,不过,他们这一个月可以免费帮忙加固服务器。
回到公司,小吴同学与刀峰检查了一下机房,去谢重字符公司,现在还没有黑客攻击感到什么奇怪,最终检测了一遍发现,有巴卡斯基暂时保护服务器,这才长长的舒了口气,然后再一查服务器的日志,外网登录的也有!
并且管理员账号乱开!
就连服务器自带的防火墙也没有全,更谈不上什么安全策略了,最后,道哥要求谢重交出管理员帐号密码,其交,公司行,要求所有运维人员交出自己的帐号密码,由网络安全中心重新收回并分配!
虽然一开始,很多同学不理解,以前都好好的,为什么现在要收回重新分配,谢重、田农、刘浩然分别给大家做工作,并把昨天晚上收到某安全公司以dds攻击为名,要求公司把网络安全交交给他们的事情给大家讲了一遍。
“太无耻了!”
“这也太不要脸了,怎么会有这样的人!”
谢重趁机把公司组建安全团队的想法给大家讲了一遍,并且给大家介绍了网络安全中心负责人,也请大家配合工作。
每个人都表示十分理解,这样一来,既是保护公司,也是保护大家!
同时,要求新建设一个dhp机房,把服务器使用的网络。与公司的网络隔开,现在没有办法做到对员使用网络进行监控,但先把服务器保护起来,确是重中之重!
说干就干,专业人士从不二话,一下午收回了全部运维人员的rt权限,打包上传的人员,只给打包上传的权限,服务检查的,只能服务检查的权限,日志分析的,只给日志分析的权限,应用检查的,只给应用检查的权限以后,往服务器上上传任何东西,都需要网终究安全中心审核!
第二步,建立dhp机房,固定每一台电脑的a与ip地址,隔离公司网络与机房的网终!
这不是一天能完成的!
反正谢重申请了1g带宽,这个带宽,一年需要交150万的使用费,运营商承诺对微脖在主要的城市进行节点加速。
这一点谢重不太相信,听听也就罢了,等条件成熟了,他自己建dn节点加速!
接下来,微脖开发的任务暂时告一段落,公司除了要收集微脖用户的反馈,做好产品的迭代之外,还需要全加完成自动化运维服务平台,要做个it资产透明化,安全化,可控化。
现在公司就一个产品,接下的时间里,全力围绕着这个产品修炼好内功争取把这个产品打造成为一个现象级产品。
同时,谢重要求成立产品部门,用户体验部门两个部门。