惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园_首页
F
Full Disclosure
Martin Fowler
Martin Fowler
The GitHub Blog
The GitHub Blog
L
LangChain Blog
T
The Blog of Author Tim Ferriss
D
DataBreaches.Net
GbyAI
GbyAI
Y
Y Combinator Blog
博客园 - Franky
WordPress大学
WordPress大学
Apple Machine Learning Research
Apple Machine Learning Research
A
About on SuperTechFans
Blog — PlanetScale
Blog — PlanetScale
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
G
Google Developers Blog
罗磊的独立博客
Hugging Face - Blog
Hugging Face - Blog
博客园 - 三生石上(FineUI控件)
IT之家
IT之家
Jina AI
Jina AI
N
Netflix TechBlog - Medium
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Recent Announcements
Recent Announcements
酷 壳 – CoolShell
酷 壳 – CoolShell
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
博客园 - 聂微东
腾讯CDC
H
Help Net Security
H
Heimdal Security Blog
J
Java Code Geeks
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
The Exploit Database - CXSecurity.com
The Register - Security
The Register - Security
大猫的无限游戏
大猫的无限游戏
T
Threatpost
B
Blog RSS Feed
T
Threat Research - Cisco Blogs
Microsoft Security Blog
Microsoft Security Blog
S
Securelist
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
B
Blog
量子位
AWS News Blog
AWS News Blog
Project Zero
Project Zero
P
Proofpoint News Feed
Cisco Talos Blog
Cisco Talos Blog
Spread Privacy
Spread Privacy
S
Schneier on Security

博客园 - 辰

【破解】webix 9.1.6 试用版 弹窗提示破解教程 【经验】微信小程序 canvas 图片拉伸 对 wx.canvasToTempFilePath 截图导出的影响。 【经验】微信小程序Canvas 的画图尺寸学习研究。 [入门到吐槽系列] 微信小程序 上传图片 前端压缩 保存到云存储 使用Canvas新API的巨坑! [入门到吐槽系列] 微信小程序 敏感违规图片检测 mediaCheckAsync,客服接口 消息推送 的各种坑分享! [突发救援] 网站突发被腾讯云因未备案 屏蔽,60分钟内抢救恢复成功! [入门到吐槽系列] Webix 10分钟入门 二 表单Form的使用 [入门到吐槽系列] Webix 10分钟入门 一 管理后台制作 从事游戏行业也有10年,让我来说下游戏的本质,为什么上瘾。 Egret 生成 自带EUI 的微信小游戏 踩坑! JMeter入门 像屎一样的 Spring Boot入门,总算有反应了 亲测有效!一种完美动态阈值白平衡算法 Java实现。 Windows 2008 - 由于管理员设置的策略,该磁盘处于脱机状态 egret调用页面js的方法。 egret GUI 和 egret Wing 是我看到h5 最渣的设计 Egret 集成第三方库 记录 乐高情报站7月份抽奖数据汇总。 今天是第二个最值得纪念的日子。
租了一台华为云耀云服务器,却直接被封公网ip,而且是官方的bug导致!
· 2021-08-04 · via 博客园 - 辰

小弟在博客园也有十多个年头了,因为离开了.net圈子,所以很少发文,今天可算是被华为云气疯了。写下这篇文章,大家也要注意自查一下,避免无端端被封公网ip。

因为小弟创业公司业务发展,需要一个公网做宣传,考虑到距离双11还有段时间,腾讯云阿里云的服务器价格都没下来。正好看到华为云有做活动:

想着先租一台过渡下,就选了个挺便宜的,一年不到200的虚拟机试一试。之前也没用过华为云,如果用的顺畅,也考虑把主营业务转移过来。

可是万万没想到啊!就在今天,突然收到短信通知,告知我的服务器公网ip直接被封杀了:

 第一反应是心理一惊,难道有什么程序违规了?再仔细一想,不可能,这台机器只装了wordpress的开源博客,连程序都没跑过。顿时感觉火冒三丈!老子做IT真的十多年了,从来没有遇到过这种没有任何通知的情况下,就直接下手把服务器整个端了的。于是立刻发工单:

由于实在非常气愤,态度也非常不友好。工单发过去后,奇怪的一幕出现,对方要我提供账号密码,和服务器账号密码。

这种情况真的十多年第一次见,还让我先做个机密授权。难道华为云本身是没有其他监控工具的吗?要这么原始去登录用户账号密码检查?于是把密码都改了一遍,发过去让他们检查。同时我也开始检查封杀原因。正好看到封杀短信上一条,有一条疑似攻击的短信:

当时因为看到是mc疑似攻击,考虑到mc都是内网访问,不可能会被攻击,加上短信写着是“可能”,就当成了安全通知类型的短信没有理会。现在看,估计是由于被华为安全平台判被攻击了,导致公网ip下线。

那就更加奇怪了,内网端口怎么可能会被攻击。所以就开始在控制台找,找了半天,总算找到了安全组:

 终于被我发现问题了,购买的虚拟机被默认挂上了fullaccess(图中我已经把安全组改了)。这就让我更加气愤了,这明明就是华为云本身的缺陷,初始化的时候,在不通知我的情况下,默认把我服务器的端口全部都打开了。然后被攻击后,又没有任何通知会关ip的情况下,直接关了我ip。

可是这个时候,工单那边的工程师还在各种甩锅,说是我开的mc端口被攻击导致ip下线的,让我火冒三丈。多次沟通后,我已经说明了是购买主机的时候被默认开放了所有端口,对方还在声称是我购买主机的时候,自己选择安全组别fullaccess,我于是立刻重新走了一次购买流程:

可以很肯定的说,选择了型号之后,点击购买,直接就跳转支付,并没有选择安全组的环节。说明了这就是华为创建服务器产生的一个bug。到目前为止,对方已经承认了创建虚拟主机时候,给我创建了fullaccess,但是还没承认是平台默认创建的bug:

目前对方也没有进一步消息,只是帮我恢复ip后就默认不处理了。这件事情让我对华为云的服务质量和态度非常的气愤。

首先从现象来说,我作为公司购买了一台服务器竟然在没有事先通知的情况下直接被下线。无论是什么原因,这种在任何IT公司都是最严重的生产事故。而华为云在解决过程中也有很多不足,并且到目前为止都没有意识到自己存在的问题:

1. 工单的处理没有缺陷级别划分。公网ip下线这种不可访问,是属于非常严重的事故,基本上与数据丢失同一个档次。

2. 对于这么重要的操作,竟然事先没有任何通知,也没有电话沟通,直接就下了。

3. 接单的时候, 我多次指出了问题的原因,对方一直不响应,依然是把问题归咎消费者操作失误。

4. 这种非常紧急的问题处理,前前后后花费了2个多小时,问题还没找到,最后先很‘仁慈’的帮我恢复公网ip。这种应急预案,要是在it公司,无论什么原因,只要联系沟通上,首先要做的应该是恢复访问,再找原因。

如果我们的核心业务,每天有几十万用户访问量的,这么切换过来直接被ip下架,损失将会很惨重,客服都会被打电话投诉。最后,只能说,作为云服务提供商,腾讯云和阿里云做的就非常到位,华为云还有很多问题需要解决。这些问题不是某个端口被攻击导致服务器下架,而是整个企业级服务基本流程问题。

最后,如果有小伙伴租了华为云,记得检查自己的安全组,是否被默认设置了fullaccess。如果是,那么等于被暴露攻击,会有被下线的风险。