国企 今年入职新员工 没有任何安全培训过 我也不知道不能内网穿透
为了方便维护 我把单位的服务器用 frp 内网穿透了
结果服务器数据库密码太简单 被通过数据库提权控制了服务器
然后导致内网 14 台服务器被黑中了勒索病毒
说是我违规操作
处理结果还没出来 想问问我得付多大责任
我觉得最多就是开除吧 不会让我赔偿吧
今天听说不追究我责任了 领导帮我压下来了 终于可以安心工作了
数据听说重新上传存档报表的方式人工补了
大家还是要引以为戒 比如楼里提到的弱口令 指定IP访问等
国企加上领导比较好 我也听从楼里建议认错态度比较好 才比较幸运的没被追责
201
yushuda 2020-07-22 12:51:10 +08:00
太秀了
如果没有安全培训 没有什么文件比如员工手册规定了不能这样做(需要你已经签收此类文件) 应该是无法追责你的 不过...操作这么骚 最好的结果就是主动辞职吧 |
202
594duck 2020-07-22 12:58:14 +08:00 4
@shoreywong 这二天 V2er 来了一堆脑残洗地小粉红,应该是暑假来了。你也别看他们这帮人,看了来气直接拉黑就好了
等他们毕业后都会被社会的铁拳痛砸出屎,再回想自己之前说风凉话的时候那副样子。我犹如看到了许多个《少年小赵》。 你这事我和你说,就一句话,态度要好。另外就是要强调你一人身兼多职。表示 职能不清,也没有人和你说过什么。 这事最多被开除,主责不在你,次责你肯定有。公司管理是主责 |
203
594duck 2020-07-22 12:59:09 +08:00
@patrickyoung 这事他是次责你信不信,主责是公司管理不严,一人多岗,权责 不清,职能不清。
|
205
billwang 2020-07-22 13:06:10 +08:00
|
206
StephenHe 2020-07-22 13:07:26 +08:00
zf 网站只能内网访问是有道理的
|
207
Meltdown 2020-07-22 13:14:25 +08:00 via Android
这种和生产事故有区别吗?生产事故的话我们公司貌似都是记在绩效上,象征性罚点钱
|
208
lidlesseye11 2020-07-22 13:15:27 +08:00 1
|
209
xdtr 2020-07-22 13:16:28 +08:00
按照国企的尿性,出了事直管各领导监管领导不力负主责,分管领导管理不严负次责,具体干活的员工责任反倒没多大,但是工资绩效肯定会很受影响。
|
210
wangbudong 2020-07-22 13:26:39 +08:00 1
下辈子注意点
|
211
chen006 2020-07-22 13:28:28 +08:00 via Android
瞎碰公司网络很危险的,自己远程的话可以考虑买个控控,硬件级远程控制,无网主机也可以远程
|
212
Seymer 2020-07-22 13:30:34 +08:00
站在楼主的立场给些建议,仅供参考。
1. 首先需要找出直接证据证明是否是由于自己搭建的 frp 导致的内网服务器被黑。 2. 找网络安全公司或报警协助调查。 3. 在事情没有水落石出之前不要瞎想瞎猜瞎说。 4. 无论结果如何,今后还是希望引以为戒。 |
213
Poko 2020-07-22 13:38:13 +08:00
人才
|
214
letking 2020-07-22 13:41:28 +08:00
大家都知道把服务器暴露在外网更方便维护,那你觉得公司为什么没直接这么做呢😂
|
215
Egfly 2020-07-22 13:51:55 +08:00
说白了还是安全意识淡薄。吃一堑长一智,以后在公司上班,所有一切按流程来,不要嫌麻烦。
|
216
AstroProfundis 2020-07-22 14:02:42 +08:00
楼主在这里跟网友扯淡发表的言论能被视作证据吗?有一些措辞已经明显对楼主不利了...
|
217
baiduyixia 2020-07-22 14:06:44 +08:00
肯定要赔偿啊,太天真的,赔偿就当花巨额买一个教训吧
|
218
sonxzjw 2020-07-22 14:09:52 +08:00
我觉得应该不恰当操作导致的责任。一来公司没有相应安全规定,本来安全操作方面就模糊,另外就是领导也要负责的。
说个我经历过的事,我前公司一同事,对服务器随意操作(当时也没任何操作规定、章程之类的)。导致生产环境服务器所有数据库数据清除得干干净净。最后公司给钱数据服务公司恢复数据,3W 多。那同事一点儿事也没 |
219
konakona 2020-07-22 14:13:42 +08:00
热备份呢?
|
220
mogami18 2020-07-22 14:32:43 +08:00
跑路出国?
|
221
deplives 2020-07-22 14:57:15 +08:00
顶多开除?? 还不想赔偿? 你这想的太天真了吧,现在估计是蹲几年的问题了吧
|
222
juzisang 2020-07-22 15:02:25 +08:00
啊这,吓得我赶紧关掉了 Frp
|
223
zgzhang 2020-07-22 15:06:30 +08:00 9
@shoreywon 兄弟你这一波的确有点伤,我自己是搞网络安全的,老婆是律师,也经常给 v2er 免费咨询,如果需要你可以加下 VX:MTgyMTc3MzI1NDA=
|
224
ladypxy 2020-07-22 15:07:55 +08:00
顶多开除,赔偿?没见过公司要求赔偿的。
以前在 IBM,有个同事把某银行的小机关机了,直接损失几百万,也就是丢了当年奖金。 |
226
nnnToTnnn 2020-07-22 15:16:01 +08:00 1
```
国企 今年入职新员工 没有任何安全培训过 我也不知道不能内网穿透 ``` 国企正式工,都会培训一个月,以及各个方面的安全准则,大到服务器安全,少到交通安全。 如楼主所说国企员工,但是没有做任何安全培训,楼主应该不在国企,而是国企的长期零时工。就是传说中的外包。 ``` 为了方便维护 我把单位的服务器用 frp 内网穿透了 结果服务器数据库密码太简单 被通过数据库提权控制了服务器 然后导致内网 14 台服务器被黑中了勒索病毒 ``` 情况,如果服务器上仅仅只是没有涉密数据,而是一些无关紧要的数据,最好的情况就是离职赔钱。如果是涉密的资料一旦出一种这种事故。从上到小,没一个能跑得掉。兄弟 |
227
nnnToTnnn 2020-07-22 15:17:46 +08:00
是的,国企不差钱。赔偿不至于,国家饭估计稳了。
|
228
zgzhang 2020-07-22 15:19:26 +08:00 1
@shoreywong 不好意思 @错人了,我自己是搞网络安全的,老婆是律师,也经常给 v2er 免费咨询,如果需要你可以加下她的 VX:MTgyMTc3MzI1NDA=
|
229
gqfBzoLVY3Wl4Tng 2020-07-22 15:23:24 +08:00
@blindie 放在楼主,不应是 张三把人腿打断了,所以他跑不动,被抢劫了?
|
230
zijieq 2020-07-22 15:23:26 +08:00 1
你们别吓楼主了,我有个离得比较远的堂哥,之前也是在国企当个小领导,结果项目出了问题,可能要进去,最后他心理压力太大自杀了
|
231
shoreywong OP @nnnToTnnn #225 正式工
应该不涉密 |
232
nnnToTnnn 2020-07-22 15:26:50 +08:00 1
@shoreywong 不涉密问题不大,基本内部消化,不会到集团上面去。 出点钱找人恢复一下数据就行了,不会赔钱,但是会重点批评,以及扣掉你这个月的绩效。
|
233
saulshao 2020-07-22 15:27:04 +08:00
从楼主描述的事情看,主要是下面 2 点:
1. 不能内网穿透算不算常识?如果算,那么公司即使没有培训,你这么干也是有责任的。在下认同这是常识,不需要培训你也应该知道,因为一个成年人必须要了解自己做的事情的风险和可能的后果。更何况这是和你的专业知识和背景直接相关的。 2. 到底会有什么可能的后果?正如前面的回复提到的,严格意义上讲你不是主要责任人,因为病毒确实不是你直接引入的。但是你确实从法律上来说有玩忽职守的嫌疑。这种事情最终的后果主要是和实际造成的损失关联,而实际造成的损失大小则是由你的单位说了算。 综合以上,我建议楼主联系律师,准备好进入正式的司法程序,面对调查的时候实话实说就行了。 |
234
nnnToTnnn 2020-07-22 15:28:41 +08:00
@shoreywong 重要的是数据到底有多重要,如果真的很重要,说实在的,这就是一个重大事故,如果不能内部消化,那你就很难不吃国家饭,在国企能赔钱是最好的情况。
|
235
Roung 2020-07-22 15:55:52 +08:00 via Android
先整个企业版的杀毒软件吧,给公司安上,给点钱。
顺便叫专业的人来,能不能解决。 不能,就只好打钱咯。 |
236
jfdnet 2020-07-22 16:02:46 +08:00
弄个 zerotier 它不香么
|
237
prenwang 2020-07-22 16:03:06 +08:00 1
按正常流程肯定要赔偿的, 判刑倒不必, 这毕竟不是自己故意恶意造成, 属于失职.
态度好点, 跟公司好好检讨, 诚实坦白不一定被豁免, 但是也许可以获取同情分, 不要破罐子破摔, 主动权在公司, 公司决定赔偿多少也受你的态度影响, 如果你的态度惹怒公司, 那真的是吃不了兜着走. 如果公司态度坚决,完全不听你检讨和解释, 赶快联系律师吧, 尽可能减小损失. |
239
xman99 2020-07-22 16:10:39 +08:00
好好的用 vpn 连接上内网不好吗? 在内网 发布新代码啊
|
240
hu31346017 2020-07-22 16:12:03 +08:00
大意了。
|
243
nikolai 2020-07-22 16:48:13 +08:00
所以有时我觉得多一层 NAT 是好事
|
244
lzk50136 2020-07-22 16:55:34 +08:00
吓得我瑟瑟发抖,赶紧关了先。(捂脸)
|
245
yulgang 2020-07-22 16:58:30 +08:00
你是弄到 frps 上之后,从公网可以随意访问了?
|
246
mostkia 2020-07-22 16:59:23 +08:00
frp..既然暴露到外网了,就做好安全工作啊,因为数据库密码台简单导致的问题,真的是月经贴了,我公司今年也发生了,也是业务员使用跳板机造成的内网入侵,没办法给了比特币解锁的,折合人民币,给了十几万。
|
247
25zai 2020-07-22 17:13:14 +08:00
全责
回答完毕 |
248
p2o521 2020-07-22 17:15:18 +08:00
20 人小公司会计主管兼网管,我都是在安财务软件的服务器上常年开着向日葵远控的,是不是风险也挺大的? sever 2012 r2 系统。
|
249
p2o521 2020-07-22 17:16:04 +08:00
另外谁能告诉我怎么看日志啊?比如被入侵了怎么才能在 sever 2012 r2 日志里看出来?
|
250
oska874 2020-07-22 17:42:09 +08:00
这事传出去,以后也别在圈子混了。
|
251
xifangczy 2020-07-22 17:44:31 +08:00
掏钱交赎金吧。。
|
252
zoyua 2020-07-22 17:47:15 +08:00
公司网络也敢搞内网穿透。。吃点好的吧
|
253
abuzzworld 2020-07-22 17:49:32 +08:00
天秀啊。。。。
|
254
gouchaoer 2020-07-22 17:56:01 +08:00
数据库怎么提权的?是你把许多机器的 root 的 ssh 都放到数据库了 2 ?
|
255
martinsu 2020-07-22 17:58:59 +08:00 via iPhone
这样打个比方:
一个普通工人,进一家制造厂打工,月薪一千。 这厂是家小厂,各种规章不规范,没有安全培训,比如:不能在厂里抽烟。 现在,因为这个工人抽烟把厂整个烧了。损失一亿。 请问,法律要不要求这个月薪一千的工人承担一亿的责任? |
256
0017 2020-07-22 18:02:49 +08:00
可见内网物理隔离非常有必要...
负多大责任要看造成的损失有多大,这些服务器有没有备份,数据有多重要了...... |
258
aydd2004 2020-07-22 18:12:39 +08:00
我突然间发现 当初我动不动把生产线搞停个把小时 也不是个啥事
|
259
murmur 2020-07-22 18:32:47 +08:00
真的流批,别人为了安全都不开外网权限,你这给内网直接透出去了
|
260
glasslion 2020-07-22 19:30:25 +08:00 1
OP 千万别觉得能推给公司培训、安全规章不规范,领导监管不严。 刑法和民法是两套逻辑。
你如果是电商运营,或是证券交易员, 手抖输错个商品数量、单价、股票价格, 哪怕给公司造成的损失过亿, 也顶多被开除走人,因为民法、劳动法 明文规定了劳动者过失造成的损失的处理办法, 法院依法办事, 治不了你。 但一旦触及刑法, 就完全是另一套逻辑了。再者根据我国特色, 刑期更多取决于你造成的损失,不是你主管故意的严重程度。 想想前一阵哪个 DBA 为啥判那么重? |
261
xyjincan 2020-07-22 19:57:06 +08:00
@sytnishizuiai 离线备份啊
|
263
jfdnet 2020-07-22 21:25:33 +08:00
|
264
594duck 2020-07-22 21:28:54 +08:00 via iPhone
还有小粉红直接骂人。啊哈哈哈哈,v2 的素质讲到这个水平了。
|
265
prick 2020-07-23 02:36:48 +08:00
这事情有没有造成大的损失?是否有上报到上级?如果损失不大且没有上报,一般内部消化处理,警告批评也就过去了。如果损失大到兜不住,那后果很严重。
|
266
lovestudykid 2020-07-23 03:27:42 +08:00
我以为公司电脑不要做任何未授权操作是常识,竟然还有人觉得楼主不是主要责任的。哪怕没出事,用 FRP 做内网穿透这个行为就足够开除了,还不是自己没把安全当回事。刚刚在 Quora 上看到的一个帖子,有人发帖问把一份文件发到了自己的私人邮箱,公司 HR 要求交出私人邮箱密码,并且签一份合同因为这份文件造成的损失全部个人承担
|
267
rosees 2020-07-23 06:15:30 +08:00 1
国企过来人给你个建议吧,如果没有实际证据的话,就一句话:坦白从宽牢底坐穿,抗拒从严回家过年。 死赖着不承认就好了。
|
269
jedihy 2020-07-23 09:53:36 +08:00 via iPhone
赔钱是不可能的,因为根本拿不到钱。顶多开除,档案里面落个处分。
|
270
0x49 2020-07-23 10:21:49 +08:00
frp 我整个公司都在用.阿里云买个最便宜的主机.业务等等搭建在公司物理服务器上.frp 出去..远程管理的端口都是开的 stcp.非端口直接映射.而且 3306 1433 这种端口穿透出去也不会是 3306 1433 的.风险太高.root sa 密码都是 8 位以上大小写数字字符组成.
|
271
Michelangelono 2020-07-23 11:13:18 +08:00
程序员是高风险职业呀
|
276
solaro 2020-07-23 20:35:18 +08:00
牛逼了,重点是“服务器数据库密码太简单”??????你 FRP 不是应该穿透到你自己的 VPS 上?你穿透出去,难道你的 VPS 连最基础的安全防护都没有吗?
|
277
winterx 2020-07-24 08:28:54 +08:00
@p2o521 楼主开 FRP 最大问题不是 RDP,而是把数据库(可能是 3306 )也开了加上弱口令
RDP 本身上没有太大问题,及时更新补丁+高端口+复杂密码,基本无法爆破,最多是日志中发现有人想不断地穷举你管理员账户 如果不放心,有两个选择: 1 、把 RDP 关闭,使用向日葵 / TeamViewer 2 、配置 VPN Server,Win 自带,外网只映射 VPN 端口,需要 RDP 时先连 VPN |
278
vain 2020-07-24 10:01:53 +08:00
“付多大责任”感觉是在买东西付钱,想付就付,不想付可以走。“负多大责任”是一种债务,你没得选择,跑不掉。
|
279
zonly 2020-07-25 20:44:57 +08:00 via iPhone
太悲催了
|
280
terrytw 2020-07-27 09:15:15 +08:00
我想问你难道穿透之后开放在公网上了吗
我都是 frp 指向家里路由器,路由器端口转发到内网电脑,内网电脑需要连的时候再手动开 frps 的 |
281
baymax123456 2020-07-27 10:12:18 +08:00 1
发现和楼主有很多相同点,同情你
|
282
shoreywong OP |
283
sparkyuan 2020-07-27 15:05:53 +08:00 1
我觉的这不是穿透的问题,就看怎么用了,我建议可以像这样使用,相对来说安全一些,大佬们也可以评估一下。
1 自己家里弄一台破电脑搞个 win10,24 小时开机,(如果搞虚拟机更佳) 2 frp 服务端装在 Win10,当然如果你有虚拟机,跑一个 win10,一个 Debian 更佳。 3 路由上 DDNS 动态域名挂上, 只开放 7000 FRP 服务端口,映射给 FRP 的服务器 IP,也就是 win10 的 IP (自己定义) 4 如果开放 RDP,必须加上限定源 IP,映射给 win10. 5 公司的服务器上 FRP 客户端全部接入家中内网的 win10. 6 如果在家中,直接家中内网访问 win10 地址加对应端口,或者直接在 win10 的机器上操作,就可以, 7 如果有在除家以外的地方有访问需求,可以在家中路由上建一个 L2TP 的 VPN,所有电脑上设个 L2tp 连接也容易,连回家中,然后 RDP 到 win10, 在 WIn10 的机器上控制公司的服务器。也可以在路由上直接绑定现有 IP 给 RDP 的源端口。 我想这样应该相对来说很大成度上可以保障你公司的安全,就算弱密码应该问题也不大,只要 VPN 密码不被泄漏就行。 |
284
Ainsoph 2020-08-01 18:30:51 +08:00
为什么不用 zerotier ?
|
285
a1044634486 2020-08-04 18:50:33 +08:00 1
恭喜楼主,羡慕有个好领导
|
286
defunct9 2020-08-05 15:13:18 +08:00 2
恭喜一下,你的领导是个好领导。
|
287
594duck 2020-08-06 06:06:16 +08:00
看到了附言了,恭喜楼主。这种经历非常难得,你要好好谢谢你的领导。同时以后记得做事不要莽。
|
288
594duck 2020-08-06 06:08:33 +08:00
@sparkyuan 你的意见非常好,但是不是这个专业的就不要瞎讲了。第一个问题,你自己的 FRP 符合不符合合规,好了。一切结束了。至于后面一堆民用级方案,那是给中华田园奋斗者公司用的,企业级系统都不行。
|
289
Cu635 2020-08-07 14:41:39 +08:00 1
|
290
fs418082760 2020-08-11 16:32:10 +08:00
杭州的?
|
291
caicaiwoshishui 2020-09-30 18:33:06 +08:00 via iPhone
@xmlf 如果客户端是家用电脑没有公网 ip,这种情况怎么限制 ip 访问呢
|
292
caicaiwoshishui 2020-09-30 18:36:16 +08:00 via iPhone
@sparkyuan 没有公网 ip 咋办
|
293
zhhww57 2020-10-10 19:27:03 +08:00
用啥 frp,直接 softether 回程,桥接到硬件路由器上面
|
294
kungsun 2023-06-28 10:38:17 +08:00 via Android
哇塞
|