和黑客斗爭的 6 天!
互聯網公司工作,很難避免不和黑客們打交道,我呆過的兩家互聯網公司,幾乎每月每天每分鐘都有黑客在公司網站上掃描。
有的是尋找 Sql 注入的缺口,有的是尋找線上服務器可能存在的漏洞,大部分都是各個黑客檢測工具來掃描,當然更高級一點的入侵需要很多人工協助。
一般情況下,網站被黑客入侵都是因為開發人員平時沒有安全意識導致的,厲害的黑客往往會對平臺的業務和內部流程非常熟悉,很多漏洞是從邏輯上分析出來的。
當然了,所有的黑客攻擊行為都是有目的,99% 都是因為其中隱藏著暴利。比如2015-2017年,很多互聯網金融公司遭遇黑客敲詐,最后都是打錢了事。
今天給大家分享的是,去年一家公司發生的事情。
1.一個客戶反饋操作很慢引發的事件
第 1 天
2018年的某一天,客服接到個別用戶反饋,公司某款 App 操作時某個界面響應很慢,客服將此問題反饋給了公司的相關技術人員。
技術人員接到這個反饋之后,在生產環境多次測試并沒有復現這個問題,于是給客戶反饋有可能是網絡的問題,可以換個網絡再試試。
第 2 天
客服接到更多用戶反饋,手機操作某個功能時很慢,最長時間要等待超過 1 分鐘。客服又將相關信息反饋到技術,并且將問題級別提高了一級。
技術這邊將問題上升到技術經理,開始排查問題原因,技術經理通過大量測試發現,這個緩慢現象在測試 10 次會復現 1 次。
看來又是一個偶現的問題,偶現的 Bug 是最難處理的,技術經理帶著研發人員在服務器調了一下前端業務日志,分析之后也沒有找到具體的原因。
第 3 天
公司有一個核心代理商將此問題反饋到技術老總,老總安排技術總監來關注此問題。技術總監要求把訪問路徑的關鍵節點都打上日志,看看具體是哪部分操作慢了。
經過技術經理的排查,是在 App 操作某一個功能的時候出現偶發性的慢,但是這塊的操作也有緩存作為支撐,緩存的使用率并不是很高。
既然問題是偶發并且后面的緩存使用率并不高,那么應該不是程序哪塊出現 Bug 了,應該是其它方面的問題,遂要求排查是否是服務器問題。
先給大家畫一下一張圖,方便大家了解一下技術背景。
前端用戶使用手機操作某一個功能時,請求經過防火墻路由器分發到最前端的 Nginx,Nginx 又通過均衡負載分發到后面的五臺業務服務器。
業務操作的時候需要調用一組數據,這些數據會根據業務規則緩存到背后的緩存服務器集群中,用來緩解后端數據庫的壓力。
第 4 天
經過和運維人員配合調查發現,在分發的這 5 臺業務服務器中,其中有 1 臺服務器的壓力比較大,凡是請求分發到這臺服務器的時候就會出現慢的情況。
因為線上的服務器已經用了很多年,懷疑是不是服務器配置老化導致的問題,隨后將壓力比較大的服務器進行下線,無縫切換到新的服務器上。
過了半個小時后繼續觀察,又發現另外的一臺服務器也出現負載壓力大的問題。后面變了很多方案,比如減少到 3 臺服務器來支撐,或者增加到 9 臺服務器來支撐。
總是切換半個小時到兩個小時的時候,其中的 1-2 臺服務器的壓力會突然上來,一直保持比較高的訪問量,經過這些測試排除是服務器的問題。
緊接著排除 Nginx 是不是分發的策略有問題,導致某個服務器分發的請求過多,試著變了幾次 Nginx 的分發策略后,還是會復現出問題,排除 Ngingx 分發異常。
第 5 天
技術人員繼續跟蹤,負載壓力比較高的服務器線程 Down 出來和正常的服務器對比,發現在負載壓力比較大的服務器上某個線程的調用數量異常的高。
再繼續跟蹤這個線程,原來是某一個忘記密碼的功能被頻繁的調用,忘記密碼應該是一個普通的接口,為什么會被這樣高頻率的調用呢?
然后再繼續跟蹤是哪些 IP 在頻繁的調用這些接口,不跟蹤不知道,一跟蹤嚇一跳,把調用最頻繁的 Top 100 IP 列出來查了一下,發現都是國外的 IP。
什么 巴黎、孟買、菲律賓、泰國,幾乎所有的外國的IP都有,但是作為一家國內的第三方支付公司,怎么可能會出現國外的 IP 呢?
大家都知道在手機上填忘記密碼的時候,絕大部分平臺都是使用手機號作為其中的一個條件,如果你沒有在這家平臺注冊,那么就會反饋手機號不存在。
這是一個非常常見的功能,但是對于黑客來講,這個功能夠暴利了。
很多同行業的競爭者需要挖角其它公司客戶,但是怎么知道這些平臺的客戶有哪些?
直接通過這個接口,暴力破解就可以了。
是不是很黃很暴力!
因為公司處理的業務都是國內業務,所以只要直接在 Nginx 寫腳本,把所有來自國外的IP 都給屏蔽,可以暫時解決被國外 IP 攻擊的問題。上線后果然消停了,服務器也不過載了,App 訪問也正常了。
第 6 天
可能黑客過了一晚上也反應過來了,又開始使用國內的服務器代理 IP 高頻調用此接口,既然黑客使用了國內的 IP 地址,肯定不能把國內 IP 都封了吧。
不過在 Nginx 之后還有一個前置服務器,在前置服務器中加一個非常簡單的過濾器:設置一個 IP 地址在某個時間段內(可配置)只能訪問此接口 5 次,即可解決此問題。
然后再以用戶為維度加限制,一個用戶在某個時間段內(可配置)只能訪問此接口 5 次。
上面這些手段都上完之后,一切都安靜了,再也沒有出現過服務過載或者用戶反饋操作反應慢的問題了。
但是如果黑客有足夠多的國內 IP 呢,為了防止出現這樣的問題,我們再接著對產品進行升級,來防止黑客的這種可能性。
我們都知道現在很多 APP 頁面,為了方便用戶操作在忘記密碼的時候沒有圖形驗證碼,或者有圖形驗證碼卻比較簡單可以機器破解。
所以需要升級新一代的智能驗證措施,現在很多創業公司都可以提供這種服務,這樣就從各個維度防止了黑客通過暴力手段獲取客戶信息。
2.總結
其實據我所知,很多互聯網公司到現在仍然存在這種漏洞,很容易讓黑客通過暴力破解就拿到用戶注冊的手機號,只要拿到了用戶的手機號后面就可以采用各種營銷策略。
這是目前很多公司,采用的一種競爭手段。
有的時候,產品的易用性和安全性其實是有沖突的,產品在設計的時候,其實就應該和技術多考慮風控的相關設計,不然在產品運營的后期容易出現問題。
一個大型互聯網公司中風險點非常多,服務器風險點、業務風險點都需要做提前考慮,同時公司必須配備相應的安全人員,對公司網站做常規安全巡檢。
監控公司所有的訪問接口頻次,定期把公司里面所有的 IP 訪問情況做成圖表進行分析,看哪些是正常的請求,哪些是異常的訪問。
定期排查統計分析訪問的所有請求,可以提前發現很多問題。
開發人員和黑客斗爭其實是一個長期的工作,任何一個訪問量比較大的公司都會遇到類似的問題,遇到問題不要驚慌,仔細排查每一個細節,最終肯定會找到問題的答案。
在我的職場經歷中,和黑客有過非常多交手的經歷,現在回過頭來看,這些經歷才是我提升最快的最好養分。
解決問題是程序員成長的第一動力,解決大問題是成為大牛的關鍵。程序員的一生,也就是不斷解決問題的一生。
這樣看來,我們要感謝職場上遇到的那些困難!
所有能爬過去的問題都成為了經歷和談資,只有那些越不過的 BUG 才能稱之為問題。
