V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NjcyNzMzNDQ3
V2EX  ›  PHP

[吐苦水]为何 PHP 不被待见,怎么一入侵就被运维泼脏水

  •  
  •   NjcyNzMzNDQ3 · 2022-08-09 09:32:53 +08:00 · 8826 次点击
    这是一个创建于 866 天前的主题,其中的信息可能已经有所发展或是发生改变。

    运维组怀疑 PHP 被注入脚本,被黑客在数据库服务器嵌入了后门程序,疑似在 Mysql 上执行 Curl 命令,并且说是 PHP 暴漏了数据库服务器账号密码。

    后经排查是定时任务导致。

    遇到入侵,先甩一口黑锅。大家遇到这种一般怎么处理?是急眼开启对喷模式,还是不管任由其说。

    日常聊天黑 PHP ,怎么怎么不行,怎么怎么不如 java 。这么说的运维不写代码,我司写 java 的也只会 java ,日常排挤 PHP 。个人感觉就是岁数大,倚老卖老,不肯接受新事物。

    语言只是工具,程序漏洞在于程序员经验,经验不足用什么语言也都是漏洞。

    论坛也都是黑 PHP 的,看多了也不想理,为了黑而黑都是。

    向各位吐吐苦水,目前我前端 PHP 都写,在这好几年了,没有学历,也动不了。。

    75 条回复    2022-08-13 13:06:24 +08:00
    learningman
        1
    learningman  
       2022-08-09 09:35:50 +08:00   ❤️ 4
    php 和 java 比起来,java 才是新事物吧。。。
    fredli
        2
    fredli  
       2022-08-09 09:39:57 +08:00
    出了问题当然互相甩锅,有理有据怼回去
    janus77
        3
    janus77  
       2022-08-09 09:43:44 +08:00   ❤️ 9
    撕逼也是职场必备技能,别以为做了程序员就可以安心坐桌子上啥也不管
    wooyuntest
        4
    wooyuntest  
       2022-08-09 09:44:25 +08:00
    建议先应急完了 再来复盘这些。
    既然定位到是计划任务导致的影响,计划任务不会凭空产生,是否排查清楚了是哪个服务有漏洞导致系统被添加了计划任务?
    fiypig
        5
    fiypig  
       2022-08-09 09:44:48 +08:00
    身为运维 ,服务器被入侵不是首要责任吗
    没实际敲 PHP 跟 Java 有啥好喷两个语言的,反正喷语言你就别理他们,别参与这个话题,如果甩锅, 你就回击回去就对了
    whosphp
        6
    whosphp  
       2022-08-09 09:47:20 +08:00
    运维主要责任 说这些话是为了甩锅 语言只是工具
    tianyou666shen
        7
    tianyou666shen  
       2022-08-09 09:47:26 +08:00   ❤️ 3
    不直接攻击你就不说
    攻击你你就反向攻击他
    上次 xx 还不是因为你们搞出来的漏洞 /延期 /bug 多 你的 xx 问题也很多 1.2.3.4 有理有据的反驳 下次看他还来不来自讨没趣
    hoopan
        8
    hoopan  
       2022-08-09 09:48:01 +08:00
    道理你都懂,干嘛不跟他掰扯,不要把精力都放到敲代码上
    Lax
        9
    Lax  
       2022-08-09 09:55:39 +08:00
    定时任务怎么来的?
    QlanQ
        10
    QlanQ  
       2022-08-09 10:03:32 +08:00
    语言、软件也靠营销,比如 mysql 和 pg ,说 PHP 不如 Java 的,都是 阿里出来,只会 Java 然后就让那些刚有点钱的老板换 Java ,有多少公司到了语言瓶颈需要换 Java 的,真到了语言的瓶颈,Java 也解决不了呀,还是 营销,大家都这样说,别人也就信了
    NjcyNzMzNDQ3
        11
    NjcyNzMzNDQ3  
    OP
       2022-08-09 10:05:31 +08:00
    补充下:定时任务是大概 3 年前写的了,内容是定时 curl 自己的业务。不是注入脚本。。
    zapper
        12
    zapper  
       2022-08-09 10:06:10 +08:00
    日常聊天爱咋黑咋黑,你自己比他们黑起来都狠就完事了
    工作上这种先甩一口黑锅的,查清楚原因了发总结邮件抄送领导呗,多搞几次他们就虚了
    sampeng
        13
    sampeng  
       2022-08-09 10:07:54 +08:00
    有一说一,被入侵不是运维的锅,是公司的锅。术业有专攻,公司不安排安全部门。。。要求所有运维都有极高的安全风险控制能力是大概率不可能的。现在 devops 这么活,都是搭个 ci/cd 就说自己是 devops 了。10 个运维里面有 1 个懂代码?不懂代码必然不懂安全控制。

    再进一步,如果定时任务是研发写的,研发有责任控制定时任务的安全。如果是运维写的,运维的锅。

    再再进一步,代码都背注入了。。只能是从 web 进来的,这锅运维部背
    duanxianze
        14
    duanxianze  
       2022-08-09 10:13:28 +08:00
    这种时候就是为了甩锅啊,别管你用啥语言都一样
    zw1027
        15
    zw1027  
       2022-08-09 10:13:38 +08:00
    这是人的问题,谁主张谁举证,有证据拿出来,否则闭嘴
    libook
        16
    libook  
       2022-08-09 10:18:14 +08:00
    运维、开发、安全应是三个独立职责,即便没有三个岗位,也得划分清楚每个指责由谁来承担,否则就会扯皮。

    安全岗位很重要,很多基础设施因为设计、配置、使用方式等原因极容易产生漏洞被攻击者利用,所以需要安全人员对系统进行评估并提供安全方案。

    处理这种即时甩锅的情况,每个人有自己的风格,可以先让其做实甩锅的行为,然后调查好实际情况,等问题解决后再向领导以正式邮件等形式罗列证据控诉失职情况。

    凡是涉及到由 URL 动态加载程序文件机制的,很长时间以来都是安全问题的重灾区,比如 PHP 、JSP 、ASP 、ASPX ,但经验带来的怀疑只能当作进一步求证的依据,不能作为结论。通过尽职的安全工作,很多风险都是可以降到很低的。
    NjcyNzMzNDQ3
        17
    NjcyNzMzNDQ3  
    OP
       2022-08-09 10:18:44 +08:00
    谢谢各位,啥生产事故都没发生。就是对抬一贬一下的话术发泄下不满。
    huangwei8ku
        18
    huangwei8ku  
       2022-08-09 10:19:13 +08:00   ❤️ 4
    说白了,还是你自己水平不够,我们组写 golang 的也是一样被老运维和老 Java 怼,上次经理默许了我的行为,我分分钟去外网的 0day 漏洞找了个 goalng 的 payload 直接攻进了运维的服务器,拷贝了数据库资料,停止了 java 服务的容器,换上了我们自己好的 golang 服务,提供了 2 周的稳定服务,运维到月底才发现。半年度会上被我们嘲讽到死。垃圾运维
    darkengine
        19
    darkengine  
       2022-08-09 10:21:23 +08:00
    你们运维这么水,自家的定时 curl 任务被误判成攻击?
    huangwei8ku
        20
    huangwei8ku  
       2022-08-09 10:21:46 +08:00
    真厉害的运维我见过一位,人家研究的东西就是入侵主动报警,那个才叫墙,人家是的的确确写代码出生的。C++; python;golang 都写过,神人,目前居住加拿大
    BUHeF254Lpd1MH06
        21
    BUHeF254Lpd1MH06  
       2022-08-09 10:22:51 +08:00   ❤️ 7
    @huangwei8ku 这算是技术圈爽文吗。。。 真这么搞会被追责的吧。。
    yogogo
        22
    yogogo  
       2022-08-09 10:23:46 +08:00
    没事我同事日常黑 PHP 我也是加入黑 PHP ,我写 PHP 和 Java 的
    Twnysta
        23
    Twnysta  
       2022-08-09 10:24:26 +08:00
    现在 php 都 8.x 版本了,最后一个 7.4 也要年底停止支持了。黑的人估计还在用几年前就停止支持的 5.6 版本吧
    fkdtz
        24
    fkdtz  
       2022-08-09 10:26:05 +08:00
    @huangwei8ku 公然挑起内部矛盾了属于是
    ericgui
        25
    ericgui  
       2022-08-09 10:26:43 +08:00
    @huangwei8ku 这事还是少干。你成了,你就可以嘲讽,搞出生产事故,你就进去了
    lujiaosama
        26
    lujiaosama  
       2022-08-09 10:26:59 +08:00
    @huangwei8ku 这是生产环境的项目吗, 玩这么大. 一般公司这套下来说不定得跑路的是操作者...
    Constantine1
        27
    Constantine1  
       2022-08-09 10:27:37 +08:00
    单纯甩锅给你。管你用啥语言。
    statumer
        28
    statumer  
       2022-08-09 10:30:57 +08:00 via iPhone   ❤️ 5
    @huangwei8ku
    高情商: 经理默许
    低情商: 经理让你背锅
    接近犯罪行为
    documentzhangx66
        29
    documentzhangx66  
       2022-08-09 10:31:09 +08:00   ❤️ 1
    别人有这种想法,其实是聪明的体现,这在算法里对应着贪心法,或剪枝。虽然不一定是 100%正确,但方向上大概率没问题,这种定式思考模式,能节约大量时间。

    就比如,现在有两套数据库,一套 Oracle ,另一套 MySQL 。某天数据出了问题,你觉得会先排查哪个数据库?

    不要怪你的同事,如果不希望别人这样对你,你应该选择比他们门槛更高的工具链。
    huangwei8ku
        30
    huangwei8ku  
       2022-08-09 10:32:03 +08:00
    @lujiaosama
    @ericgui
    @fkdtz
    @v135ex
    这肯定存在管理层以上的博弈了嘛,经理默许了,那肯定是有预估过风险的,再说了,自家产品的预发布环境,也不用太担心。最主要的是,我们部门也需要一个机会证明自身实力,不过说实话是过了点,但是也是被逼的呀,Java 在公司根基扎的太深,需要一个信号来变革。我们经理原话是这么说的。
    picone
        31
    picone  
       2022-08-09 10:32:21 +08:00
    菜非要给自己找理由,百度还大规模使用 PHP 呢,咋不见百度被大规模入侵
    huangwei8ku
        32
    huangwei8ku  
       2022-08-09 10:33:53 +08:00
    而且也的确是没有任何放入侵的手段,Java 和运维都是吃老本
    huangwei8ku
        33
    huangwei8ku  
       2022-08-09 10:34:49 +08:00
    @statumer 我也没那么傻,最后操作都是让经理去干,我指的是给他找了个 palyload
    huangwei8ku
        34
    huangwei8ku  
       2022-08-09 10:38:39 +08:00
    当然是我们公司自己机房的环境,不是阿里云这种产品,那是在犯罪,各位别过分解读
    soulmine
        35
    soulmine  
       2022-08-09 10:40:59 +08:00
    肯定要甩啊 这和语言无关
    yeyang5211
        36
    yeyang5211  
       2022-08-09 10:41:55 +08:00
    @huangwei8ku 你这很离谱 , 公司完全可以报警抓你
    yedanten
        37
    yedanten  
       2022-08-09 10:42:45 +08:00 via Android
    养活了半个安全圈的语言,第一时间被当怀疑目标不奇怪,但是公然说出来,先甩锅,就单纯是这运维菜,不会做人
    huangwei8ku
        38
    huangwei8ku  
       2022-08-09 10:48:11 +08:00   ❤️ 1
    @yeyang5211 经理是我党哥,老板是我大伯。哈哈哈哈,故事到此结束。各位看的爽吗?
    Felldeadbird
        39
    Felldeadbird  
       2022-08-09 10:50:45 +08:00
    甩锅是正常的。如果对方甩锅过来,先不着急反击,找出问题所在点。有确切证据不是自己问题,直接邮件抄送,内部群通知,本次安全事故是由 XXX 引起的。
    icyalala
        40
    icyalala  
       2022-08-09 10:56:58 +08:00
    "日常排挤 PHP 。个人感觉就是岁数大,倚老卖老,不肯接受新事物。"
    我感觉这写反了吧?
    bthulu
        41
    bthulu  
       2022-08-09 10:57:07 +08:00
    @huangwei8ku go 好用不, 开发速度咋样, 比 php 快多少? 性能我知道 php 不行, 不过我这边不在乎性能, 只要开发速度快就行.
    wangritian
        42
    wangritian  
       2022-08-09 11:01:10 +08:00
    把甩锅现场和最终排查结果的聊天记录截图,做成表情包,下次再黑,直接甩他们脸上
    当然,你要先偷偷排查一下,确定真的不是自己的锅
    huangwei8ku
        43
    huangwei8ku  
       2022-08-09 11:03:49 +08:00
    @bthulu 还行吧,golang 本身有命令行的生成器命令,我同事用的很开心,就是要自己定制,写法上我们基本上就是面相过程开发了,MapReduceFilter 那套,类库丰富,我觉得 go 你要写好,从一开始就要结合它的特性来写,比如单元测试,和编程模式的结合,比如我们所有的方法都拆的很小,差不多一个方法就控制在 20 到 50 行之间,然后用管道模式拼接,我们 test.go 文件很多。所以,基本上速度还行。
    huangwei8ku
        44
    huangwei8ku  
       2022-08-09 11:06:02 +08:00
    @bthulu 这也是国外许多博主常用的方式了,当然,golang 作者罗伯特本人感觉是业务写的不多,所以他的很多演示代码全是用 for 循环来带便利方法队列
    ws52001
        45
    ws52001  
       2022-08-09 11:10:23 +08:00
    哪行哪业都有鄙视链,有啥好纠结的。。做好自己就行,听不下去,就直接怼。。来网上讨说法基本就是引战,也许平复不了你的怒气,反而把论坛里的气氛给点燃了。。
    tuimaochang
        46
    tuimaochang  
       2022-08-09 11:40:56 +08:00
    @huangwei8ku 牛逼
    Actrace
        47
    Actrace  
       2022-08-09 11:44:35 +08:00
    挺好的,以后把活儿都丢给他们做。
    毕竟他们安全性更好。
    dream10201
        48
    dream10201  
       2022-08-09 11:48:34 +08:00
    不管怎么说,PHP 天下第一
    sdwgyzyxy
        49
    sdwgyzyxy  
       2022-08-09 11:51:20 +08:00
    如果把锅甩给 PHP ,那是不是可以反问一句,你怎么确定是 PHP 服务引起的?如果他说不出来,那就可以怼一句了,没能力别乱甩,找出是 PHP 的责任我认,找不出来的话你平白无故给我的锅能自己接回去么?
    wedd
        50
    wedd  
       2022-08-09 12:18:05 +08:00
    发现问题立马甩锅是人性本能,只能凭本事做好了
    phithon
        51
    phithon  
       2022-08-09 12:22:45 +08:00
    让大家都换 Java 啊,我们黑客贼喜欢
    gam2046
        52
    gam2046  
       2022-08-09 12:27:49 +08:00
    踩一捧一,老春秋笔法了,广泛出现在测评界、甩锅界等各种有人类活动的地方。

    心态好就不理他,反正工资照发,也不影响个啥。
    气不过就骂回去,反正工资照发,也不影响个啥。
    dengshen
        53
    dengshen  
       2022-08-09 13:52:00 +08:00
    @huangwei8ku 真的 go 牛逼, 发现了又被运维叼一顿? 然后换上 java 服务? 哈哈哈 /🐶️
    seenthewind
        54
    seenthewind  
       2022-08-09 14:13:26 +08:00
    。。。Java log4j 的余波还没过去呢。。他们怎么好意思腆着脸黑 PHP 。。

    实事求是的说,我这边接触到的漏洞情况,java 派系要不少的,PHP 倒是真没见到几个,前提是要遵守开发规范,严格做好安全防范措施,比如被注入这种跟语言是没关系的。

    信息安全 3 分靠技术,7 分靠管理,抓着语言黑来甩锅的,其实就是底气不足,换成我年轻的时候,不把他们喷哭不回家的。
    HFX3389
        55
    HFX3389  
       2022-08-09 14:15:45 +08:00
    @libook #16
    运维、开发、安全
    前面两项已经有一个叫“DevOps”的职位了,至于安全嘛,现在也有一个新职位正在悄然升起,叫“DevSecOps”!
    未来的人需要全会才能找到工作😱
    zw1one
        56
    zw1one  
       2022-08-09 14:30:32 +08:00
    直接撕他运维连安全都做不好,程序有安全漏洞不会用脚本自己测出来?这都要开发管你怎么不把工资给开发,要你干什么吃的
    ltruntu
        57
    ltruntu  
       2022-08-09 15:35:19 +08:00
    大部分的入侵探测都是针对 php 的,部署了 php ,真的会很容易被扫到,然而 java 会很少
    jsjjdzg
        58
    jsjjdzg  
       2022-08-09 15:43:46 +08:00
    最近把公司的 PHP 项目重构成 Java 的 真的人都麻了。。PHP 太爽了,太随意了。。。
    onice
        59
    onice  
       2022-08-09 15:45:51 +08:00
    安全应该交给安全部门来做,术有专攻。看样子,你们也没有安全编码规范,发版本前也没有代码审计,这事怪不到开发头上。

    并且,入侵的攻击链都没排查出来,没有证据,就更无理取闹了。
    yuhaotjutwt
        60
    yuhaotjutwt  
       2022-08-09 16:31:45 +08:00
    每年一次啊,php 又双叒叕药丸了,欢迎看看我做的 php 框架:lovephp
    HaydenDeep
        61
    HaydenDeep  
       2022-08-09 16:39:13 +08:00
    目前做安全防护相关,也从事过硬件系统和软件+网络条线部署服务器,有需要可以帮助
    vopsoft
        62
    vopsoft  
       2022-08-09 16:45:57 +08:00
    php 一句话木马
    Marszm
        63
    Marszm  
       2022-08-09 17:18:26 +08:00
    php ,做安全的都拿来教学练手,学习怎么攻击服务器。。。倒不是说 php 不安全,但是安全圈最喜欢就拿 php 入门了,java 的漏洞都属于高级漏洞了。你搜下就知道,关于 PHP 的各种入侵教程,比赛题目。。。
    error451
        64
    error451  
       2022-08-09 17:37:27 +08:00
    这个和 PHP 本身无关。

    PHP 网上可下载的垃圾代码是最多的这是毫无疑问的。

    一群小白从网上搜把搜把,也不知道在哪儿下载个源码就跑去做网站,导致漏洞一大堆。

    网上小白黑客也是最喜欢 PHP ,各种漏洞,各种一句话入侵代码,实现起来超容易。

    如果经常做运维的,每天动不动就处理 PHP 漏洞,PHP 木马,尤其是机房,云服务器做运维的,估计每天满脑子都是 PHP 。
    长期这样下来,对 PHP 没有偏见很难。
    456789
        65
    456789  
       2022-08-09 17:39:39 +08:00
    要证据,没有证据一次可以让他,两次直接怼死他
    novolunt
        66
    novolunt  
       2022-08-09 17:49:31 +08:00
    @huangwei8ku 现在都是 all in k8s,好奇你是怎么进登录运维的服务器,用的 azure 的,连我们自己都没法连 node ,除非你能黑掉 azure 的账户
    components
        67
    components  
       2022-08-09 18:10:57 +08:00
    这个跟 php 无关,主要是开发人员缺乏安全培训
    ysc3839
        68
    ysc3839  
       2022-08-09 19:03:47 +08:00
    可能是 PHP 门槛低,于是用户平均水平也低,更容易写出有安全漏洞的代码,于是渐渐对 PHP 用户形成了偏见。
    pangpre
        69
    pangpre  
       2022-08-09 19:25:17 +08:00 via iPhone
    早点换成 webman 框架,看 java 怎么替换。到时候性能跟不上,配置要求又变高了,看他要不要背锅!
    levelworm
        70
    levelworm  
       2022-08-09 19:27:47 +08:00 via Android
    @huangwei8ku 20
    要是在蒙特利尔也许我见过。。。
    wupher
        71
    wupher  
       2022-08-09 19:34:18 +08:00
    安全与否和使用语言没关系,用什么语言写,故意和无意之下都能搞出一堆锅。

    重要的是安全培训和安全审计。

    碰到问题,双方互甩,永远都没个结果。
    碰到问题,双方互助,未来才能更好。

    事情说清楚,如果仍然这样,建议换个更好环境吧。
    lifeintools
        72
    lifeintools  
       2022-08-10 07:54:38 +08:00
    怼回去
    yc8332
        73
    yc8332  
       2022-08-10 10:57:29 +08:00
    php 被入侵那是写的人不行。好好写不会发生这种事情。。还有被入侵了,安全问题不是运维要管的吗?怼回去
    funbox
        74
    funbox  
       2022-08-11 17:43:25 +08:00
    指桑骂槐懂不
    realpg
        75
    realpg  
       2022-08-13 13:06:24 +08:00
    写出来容易被入侵的代码 当然挨喷了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2439 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.