V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
heipipi
V2EX  ›  GitLab

思细级恐啊,我们自己搭的 gitlab 的都被黑了!

  •  
  •   heipipi · 2022-02-24 20:48:00 +08:00 · 26088 次点击
    这是一个创建于 994 天前的主题,其中的信息可能已经有所发展或是发生改变。

    情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。

    直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。

    顿时吓出一身冷汗啊!绝绝子!

    上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。

    各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。

    第 1 条附言  ·  2022-02-25 10:54:46 +08:00
    一堆人还跟我抗。我就想问一下:
    1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
    2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
    3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
    4. 如果 gitlab 本身足够安全,放公网又如何?
    第 2 条附言  ·  2022-02-25 10:58:03 +08:00
    5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
    第 3 条附言  ·  2022-02-25 15:52:23 +08:00
    你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
    第 4 条附言  ·  2022-02-25 16:09:13 +08:00
    有些人完全避而不谈 gitlab 本身的安全漏洞,反而告诉我应该用最粗暴最简单的的内网物理隔离才能用使用。如果 web 应用程序都做成这样,那请问还要 web 安全何用?
    247 条回复    2024-04-16 19:42:57 +08:00
    1  2  3  
    f165af34d4830eeb
        201
    f165af34d4830eeb  
       2022-02-25 19:45:16 +08:00
    eason1874
        202
    eason1874  
       2022-02-25 19:45:26 +08:00   ❤️ 1
    @heipipi #156

    把 GitLab 暴露到公网:需要实时关注操作系统和 GitLab 的漏洞并及时打补丁,被黑客抢先一步就会被黑。如果其他内部应用比如 BBS 、WIKI 也暴露到公网,那工作量成倍增长,风险也成倍增长

    内网隔离通过 VPN 访问:只需要关注跳板机操作系统和 VPN 软件的漏洞,无论内部多少个 GitLab 、BBS 、WIKI 都不会增加额外的工作量和额外的风险,你也不需要跟黑客抢时间打补丁

    而你们的做法是:暴露到公网但又不积极关注和修复漏洞,既要方便又要安全,哪有这种好事?

    “5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?”

    我可以 100%确定你没有及时升级,因为阿里云的漏洞提示是滞后的,你们收到阿里云这么多提示,就足以说明你们比阿里云还要慢
    WispZhan
        203
    WispZhan  
       2022-02-25 19:50:04 +08:00 via Android
    今日份的快乐 +1
    Lentin
        204
    Lentin  
       2022-02-25 19:51:48 +08:00 via iPhone
    楼主不会是 PM 职位吧?是搞技术开发的吗?
    darknoll
        205
    darknoll  
       2022-02-25 19:57:51 +08:00
    既然部署到公网了,为何不直接用 gitee?
    jessun1990
        206
    jessun1990  
       2022-02-25 20:13:39 +08:00
    这个世界上没有『绝对安全的系统』,因此,我还是赞成公司产品源代码采用内网部署。
    最好还是物理上与公网隔离。
    YaakovZiv
        207
    YaakovZiv  
       2022-02-25 20:28:18 +08:00
    看了楼主的描述,感到有些疑惑,代码同步到 gitlab 所在服务器,并在该服务器发布服务,那得挺多安全手段才能处理。
    如果是仅代码同步到 gitlab ,最省事就是阿里云的防火墙策略添加提交代码的机器的 IP ,代码提交结束就停用 IP 放行。
    BigDogWang
        208
    BigDogWang  
       2022-02-25 20:30:06 +08:00   ❤️ 2
    楼主太可爱了,帖子里杠精太多了,楼主加油!🐶
    deplivesb
        209
    deplivesb  
       2022-02-25 20:59:21 +08:00
    有一说一就 「但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题」 OP 还好意思 append 解释。也不知道 OP 自以为是是个什么东西呢
    deplivesb
        210
    deplivesb  
       2022-02-25 21:01:19 +08:00
    10 个小时前你说「 5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?」
    你现在敢不敢截图看你现在 gitlab 版本和启动时长
    zhattty
        211
    zhattty  
       2022-02-25 21:18:56 +08:00
    美国队长的盾牌在楼主的嘴面前也要甘拜下风
    wanguorui123
        212
    wanguorui123  
       2022-02-25 22:13:21 +08:00
    幸存者偏差
    lupus721
        213
    lupus721  
       2022-02-25 23:26:37 +08:00
    当能看到拦截信息的时候很可能已经晚了,因为真正厉害的攻击,防御是看不到的。

    有漏洞立刻就打补丁,配置好各种防护策略,证书,acl 能上的都上了,也只能保证你被黑的可能降到最低,永无没有人能给你 100%的包票。

    代码类的东西确实放在内网更安全一丢丢。
    GeruzoniAnsasu
        214
    GeruzoniAnsasu  
       2022-02-25 23:38:00 +08:00
    看到 OP append 的这些言论
    我一下就想到了「我穿得少就活该被强奸?」

    有些人吧,你让他「注意安全,晚上别单独出门」
    他给你来一句「明明是社会有问题凭什么要我自己注意」


    此处应有《啊对对对》: https://www.bilibili.com/video/BV1f44y1v77g
    calmzhu
        215
    calmzhu  
       2022-02-25 23:58:46 +08:00   ❤️ 1
    用记事本吧,git 配不上你们
    iseki
        216
    iseki  
       2022-02-26 02:22:22 +08:00
    Gitlab 有说过这个软件零运维部署是可以的吗
    ZRS
        217
    ZRS  
       2022-02-26 02:46:55 +08:00 via iPhone
    嘴比那啥硬
    xiadong1994
        218
    xiadong1994  
       2022-02-26 03:58:23 +08:00
    @ryh #196 C 版本的 Hello world 要经过 gcc/clang 编译,链接 glibc ( linux )和 call syscall ,一样会引入漏洞。
    Y29tL2gwd2Fy
        219
    Y29tL2gwd2Fy  
       2022-02-26 06:27:33 +08:00 via Android
    现在没脑子的人也能做工程师了?
    什么时候这个行业变成这样了?
    Perry
        220
    Perry  
       2022-02-26 06:40:50 +08:00
    楼主不仅仅对网络安全了解甚少,还非常喜欢推卸责任。自己用开源产品被黑了,就一定只能怪开源产品安全没做好。
    vanton
        221
    vanton  
       2022-02-26 08:40:25 +08:00   ❤️ 1
    看说话的语气,毫无逻辑的叙事风格,完全没有一点自省的态度,看来 OP 不是搞技术的。
    至少是不适合搞技术的。

    发现问题,解决问题,然后规避问题才是正确的做法。
    自己的问题还到处怼人,你当你是小仙女么?
    luhe
        222
    luhe  
       2022-02-26 09:52:46 +08:00 via iPhone
    叹为观止
    python35
        223
    python35  
       2022-02-26 10:04:34 +08:00
    1.不想自己运维的话 不是应该买现成的服务吗 例如 Github 企业版
    2.白嫖还嫌弃人家开源的产品不完美 这个不是要饭的还嫌饭馊了么
    dcsuibian
        224
    dcsuibian  
       2022-02-26 10:11:53 +08:00
    都这么久了,能不能把公司说一下啊,好让我绕着走
    lunny
        225
    lunny  
       2022-02-26 10:56:35 +08:00
    建议用 Gitea
    Kinnice
        226
    Kinnice  
       2022-02-26 11:20:15 +08:00 via Android
    把重要的服务暴露到公网,又不注重该软件的安全动态(waf 都主动告警了,都不带修复的),运维也没有。
    今天是 gitlab 名气太大被黑客研究透了,不安全
    明天就是 gitxxx 名气太小,几年没更新,漏洞满天飞,随便就被入侵了。
    Kinnice
        227
    Kinnice  
       2022-02-26 11:24:28 +08:00 via Android   ❤️ 1
    有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?

    如果你是最新版本,且按照正确的步骤进行配置,那大概率是个 0day ,这个漏洞的价值可能够买辆车了。
    dominickkorey
        228
    dominickkorey  
       2022-02-26 13:18:02 +08:00
    我一直以为在这个行业里不管干什么都需要过硬的本领和技术才能走得更远,每天都在因为技术学的不精不全难过,每天都在补课,结果看到这个 OP 我才发现原来技术和知识都不重要,只要有嘴,嘴硬就行[doge]
    Xhack
        229
    Xhack  
       2022-02-26 13:28:59 +08:00
    可惜了没有删除帖子的功能,OP 找地缝都找不到,哈哈
    ManjusakaL
        230
    ManjusakaL  
       2022-02-26 14:42:54 +08:00 via iPhone
    > 最好也是开源免费的,功能不用太多

    建议离职换行业,开源的也会有一堆漏洞。要是遇到 Log4J 这样的,怕是你们要把人作者给扬了
    muzuiget
        231
    muzuiget  
       2022-02-26 15:24:48 +08:00
    楼主就是来装找认同, 你们竟然不捧场。
    Chieh
        232
    Chieh  
       2022-02-26 16:20:54 +08:00
    手贱点进来血压又高了
    kkbblzq
        233
    kkbblzq  
       2022-02-26 17:02:06 +08:00
    要开源,要免费,要安全,不能有漏洞,我被黑的一定是开源项目的问题,都是它垃圾才害我被黑的。手动狗头。
    ewBuyVmLZMZE
        234
    ewBuyVmLZMZE  
       2022-02-27 04:31:25 +08:00
    几乎所有的开源软件的 License 里面,都是有免责声明的,换言之,你用它遇到的问题,怪不到它头上。
    ilolita
        235
    ilolita  
       2022-02-27 17:47:17 +08:00 via iPhone
    搞笑的楼主
    tutugreen
        236
    tutugreen  
       2022-02-27 21:56:02 +08:00
    这种是不是钓鱼的?
    xiaopigfly
        237
    xiaopigfly  
       2022-02-28 10:19:38 +08:00
    1. 但凡有点常识都知道这种代码仓库最好部署在内网
    2. 放在公网也不禁止自助注册
    3. 阿里云都提示你有漏洞 你 tm 也不看 活该了
    4. 说你没有升级版本也确实,我敢百分百肯定你使用的是有 RCE 的版本漏洞
    5. 每款产品都会有人研究和出现漏洞 哪怕你今天换了 gitlab 另一款产品也照样有风险
    rejectall
        238
    rejectall  
       2022-02-28 15:29:28 +08:00
    看完了总结一下,建议转行+1
    N1ckl32
        239
    N1ckl32  
       2022-03-01 19:21:27 +08:00
    是个“抗”精,已确认。
    gzxworknb
        240
    gzxworknb  
       2022-03-02 14:33:31 +08:00
    人傻不能怪社会..
    allengu2pgyer
        241
    allengu2pgyer  
       2022-03-09 10:50:19 +08:00
    @heipipi 建议题主尝试使用我司已开源的私有化部署 git 仓库——codefever ,官网: https://codefever.pgyer.com ,项目地址: https://github.com/PGYER/codefever
    gitlab 确实被很多黑客研究和攻击,更小众的 git 代码仓库确实能减少和黑客的正面相遇。
    Gathaly
        242
    Gathaly  
       2022-06-07 05:47:29 +08:00
    dmz 要设置好
    ericgui
        243
    ericgui  
       2022-06-16 12:46:32 +08:00
    [WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿]
    CSGO
        244
    CSGO  
       2022-07-12 09:13:56 +08:00
    所以是怎么被黑的?密码泄露?
    superwater
        245
    superwater  
       2022-08-02 11:57:23 +08:00
    @xiaopigfly 这才是正道..
    abctensor
        246
    abctensor  
       2023-07-28 12:12:31 +08:00
    程序有漏洞是必然:(
    所以你司是因为哪个漏洞栽的?是不是每一次都会有漏洞,概念神没有弱神啊😹
    snuglove
        247
    snuglove  
       212 天前
    gitea
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3206 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:40 · PVG 08:40 · LAX 16:40 · JFK 19:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.