V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
lalavila
V2EX  ›  云计算

阿里云会不会随意获取用户数据库密码?

  •  
  •   lalavila · 2020-12-16 17:36:37 +08:00 · 3772 次点击
    这是一个创建于 1448 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我有一个 redis 数据库开放外网,今天收到条短信说我的数据库密码是弱密码。 虽然加了星号,但可以通过前后确定是我的密码。 问题来了,阿里云 or 监管部门是如何得知我的密码? 直接扫了我的配置文件 or 暴力端口试密码? 虽然我的密码不是大小写一堆字符的强密码, 但至少也是 15 位的字母数字组合,也不是简单的那种。 image image

    28 条回复    2020-12-25 01:51:17 +08:00
    xppppsfg
        1
    xppppsfg  
       2020-12-16 18:02:17 +08:00
    15 位 是姓+手机号吗
    cominghome
        2
    cominghome  
       2020-12-16 18:05:31 +08:00
    问就是工信部监管通知
    Raynard
        3
    Raynard  
       2020-12-16 18:07:17 +08:00
    根据密码法、网安法,你的密码 xx 部门都是知道的
    laoyur
        4
    laoyur  
       2020-12-16 18:10:44 +08:00
    厉害了,redis 二进制改名,配置文件改地方,它还能不能找出你的密码来?(我理解这玩意应该是自动化的
    westoy
        5
    westoy  
       2020-12-16 18:37:04 +08:00   ❤️ 1
    如果你远程连接过, 并且(redis<6 && 没跑在 tls 代理后面) || (reids>=6 && 没有打开 tls), 定向的流量审计工具是很容易拦到你明文密码的

    当然你不要用那么震惊的语气去问那个都知道答案的问题啊, 以前严打的时候都要填表的, 密码都要交上去的好嘛.........
    ditel
        6
    ditel  
       2020-12-16 18:39:54 +08:00 via Android
    云服务商打个密码的 log,都知道的
    lalavila
        7
    lalavila  
    OP
       2020-12-16 18:45:31 +08:00
    @westoy 好吧,我 out 了。原来数据库密码被知道是常态。。。
    lalavila
        8
    lalavila  
    OP
       2020-12-16 18:52:33 +08:00
    @ditel 服务商拿密码当然很容易,我的疑问是,这样做是不是明显是不合理的。

    对一些安全敏感型商家来说,数据库里的东西就是他们的命脉。万一一个不小心在阿里或哪方手里泄露了,不是很要命?

    而且别人有你数据库的密码,怎么想都是一件很怪异的事情吧。
    wunonglin
        9
    wunonglin  
       2020-12-16 18:54:41 +08:00
    作为服务的提供方,人家是知道一切的。
    falcon05
        10
    falcon05  
       2020-12-16 18:56:57 +08:00 via iPhone
    说真的,放国内服务器就要做好随时被端的打算,数据库密码这些更不在话下。
    westoy
        11
    westoy  
       2020-12-16 19:02:14 +08:00
    @lalavila

    当时填的倒不是数据库密码, 是服务器密码.........
    westoy
        12
    westoy  
       2020-12-16 19:07:40 +08:00
    @lalavila

    有竞品关系的肯定不会放在阿里的

    不过阿里云这方面其实还算可以的, 以前各家 IDC 和机房被搅的鸡飞狗跳的时候, 万网不动如山
    iConnect
        13
    iConnect  
       2020-12-16 19:21:41 +08:00 via Android
    @westoy 万网封停慧聪域名事件
    westoy
        14
    westoy  
       2020-12-16 19:26:35 +08:00
    @iConnect

    我不是指这个, 我指封机房啊

    我当时服务器在漕宝的, 几次严打整个机房前后封了几次加起来二三十天吧, 有一次还是和 javaeye 一批的........我当时在的那家 IDC 吓的非企业业务全部清退, 企业网站有互动内容比如留言簿的要求全部下掉, 不然也清退

    当时万网稳的很.....
    westoy
        15
    westoy  
       2020-12-16 19:37:17 +08:00   ❤️ 1
    顺便再八卦几个 IDC 和大客户真实的纠纷

    egou 前身 buyren, 当年托管在上海一家 IDC, 服务器有几条内存不易而飞, 站长和那家 IDC 负责人撕的很厉害

    btchina 曾经有几台服务器放在苏州一家 IDC, 通过代理办的业务, 然后那个代理和那家 IDC 发生了经济纠纷, 那家 IDC 大过年的发难把 btchina 的服务器停掉要求再付一笔钱给他们,btchina 也和那家 IDC 撕的很厉害
    Bijiabo
        16
    Bijiabo  
       2020-12-16 19:41:20 +08:00
    你要知道阿里是没有底线的,不要相信他们的人和系统
    hoyixi
        17
    hoyixi  
       2020-12-16 19:47:29 +08:00   ❤️ 1
    用国内(甚至国人)的服务,一定要备份好。 因为 “你的东西突然不属于你了" 情况还是挺常见的
    GPLer
        18
    GPLer  
       2020-12-16 19:53:09 +08:00 via Android
    @hoyixi 用户只有使用权,没有所有权
    zxCoder
        19
    zxCoder  
       2020-12-16 20:06:31 +08:00
    @lalavila 这就是学术界水论文的一个方向啊,什么同态加密之类的,让服务提供商保存用户的密文数据,又不会影响计算。。。。然而,那个傻 叉服务提供商会这么做。
    opengps
        20
    opengps  
       2020-12-16 20:08:39 +08:00 via Android
    弱口令是公网已经泄露的数据,或者是使用常见密码能成功通过的数据
    opengps
        21
    opengps  
       2020-12-16 20:09:52 +08:00 via Android
    我以前常用的 Admin.123 ,大小写数字字符都具备吧,上个月一台新买的客户测试机刚因此中了病毒,因为这个密码其实很多人都在用
    weifan
        22
    weifan  
       2020-12-16 21:55:31 +08:00
    WC,上面的人真的是骨子里就想着怎么监控别人...
    azh7138m
        23
    azh7138m  
       2020-12-17 01:52:10 +08:00
    一般是弱口令扫到了。。。。
    我的 ssh 是 1w+ 端口,每天也被扫无数遍密码
    fail2ban 日志都快要吃满硬盘了
    akira
        24
    akira  
       2020-12-17 03:02:15 +08:00
    redis 端口开放外网。。你也是心大。。
    通过你的描述,个人猜测事情流程是这样的
    国家某安全部门通过批量扫描,发现了某台服务器的 redis 端口暴露在公网,然后随便试了几个密码进去了。再然后就是通知服务器服务商,通知到对应的用户。
    nuk
        25
    nuk  
       2020-12-17 04:13:48 +08:00
    密码是阿里拿到的,然后要上报监管部门,监管部门统一管理密码。
    监管部门会花时间去扫描服务器?你想太多了,微信还说不保存聊天记录呢。
    密码法的根本原则不记得了?
    johnjiang85
        26
    johnjiang85  
       2020-12-20 23:44:47 +08:00
    这种扫描一般不会拿明文扫的,一般是用泄露库的密码尝试登陆,或者自己使用泄漏库的密码按照业务的加密规则(如最简单的加盐摘要)运算后再和存储的加密密码对比,大公司现在基本很少存明文密码的,当然肯定还是有不少公司会存。
    beautwill
        27
    beautwill  
       2020-12-21 14:20:21 +08:00
    eW91aHVpZmFueGlhbiB2eDpiZWF1dHdpbGw=
    mytsing520
        28
    mytsing520  
       2020-12-25 01:51:17 +08:00
    弱口令
    互联网已知的泄漏的密码拿来做猜解

    上面都算是字典的方式。。。

    方式有很多,不一定是服务商嗅探密码
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1379 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 23:50 · PVG 07:50 · LAX 15:50 · JFK 18:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.