NEILREN.COM 网站源码泄露 遭到下载 后院起火

由于前段时间一直忙着找工作,又刚来北京,生活节奏比较快,很少打理网站和服务器,今天在进行日志分析的时候,发现了一个非常严重的人为漏洞,造成了网站源码泄露。

因为网站版本更新的时候,我都会习惯的留一个备份版本,就是将旧网站用RAR压缩,再用新文件替换,但我没想到的是伟大的社会工程学和扫描程序,尽然猜解到了文件名, 造成源码的泄露,有人扫描到了www.neilren.com/neilren.com.rar 这个文件,这个文件是我整个网站的程序,里面还包含了数据库的链接字符串,数据库地址、数据库名、用户名、密码。

在发现被人下载了以后,我马上检查数据库,不过比较幸运的是阿里云的RDS的安全机制,我使用的是内网数据库连接地址,当然也有来自阿里云内网的下载,不过RDS还有个机制,那就是白名单机制, 想要连接数据库,那么服务器IP必须被添加进白名单才行,索性后院没有起大火,数据没有被篡改,我马上修改了数据的密码。

下面来看看我的统计信息:


neilren.com.rar 文件共被请求 55次,其中 HEAD 请求30次(200状态10次,404状态20次),GET求情25次(200状态7次,206状态17次,404状态一次)

neilren.com.rar 文件被成功下载7次,以下是成功下载该文件的人:
2016-04-05 04:51:45 163.177.69.38(广东省深圳市 联通)
2016-04-05 04:51:48 101.226.93.234(上海市上海市 电信)
2016-04-05 04:55:39 182.140.168.114(四川省成都市 电信)
2016-04-05 05:03:45 101.227.131.246(上海市上海市 电信)
2016-04-05 08:10:53 211.157.175.99(北京市昌平区 263网络通信)
2016-04-09 03:26:31 42.51.157.111(河南省郑州市 BGP多线)
2016-06-25 02:11:32 110.203.95.71(湖南省长沙市 铁通)


一些关键的时间点:
121.127.225.213(香港特别行政区) 第一个猜解文件名的人,在2015-08-08 01:57:45服务器返回了 404 状态
120.26.231.155(浙江省杭州市 阿里巴巴) 第一个发现此文件存在的人,HEAD 请求,在2016-02-27 02:16:08服务器返回了 200 状态
163.177.69.38(广东省深圳市 联通) 第一个成功下载文件的人,GET 请求,在2016-04-05 04:51:45服务器返回了 200 状态
110.203.95.71(湖南省长沙市 铁通) 在2016-06-25 02:11:32开始,2016-06-25 02:12:22结束,多次断点续传


涉及此文件的所有IP:
121.127.225.213(香港特别行政区)
183.93.224.219(湖北省宜昌市 联通)
115.231.235.142(浙江省嘉兴市 电信)
112.74.207.193(广东省深圳市 阿里巴巴)
120.24.171.125(广东省深圳市 阿里巴巴)
139.196.54.118(上海市上海市 阿里巴巴)
183.61.236.95(广东省东莞市 电信)
120.26.231.155(浙江省杭州市 阿里巴巴)
211.157.175.99(北京市昌平区 263网络通信)
163.177.69.38(广东省深圳市 联通)
101.226.93.234(上海市上海市 电信)
182.140.168.114(四川省成都市 电信)
101.227.131.246(上海市上海市 电信)
42.51.157.111(河南省郑州市 BGP多线)
110.203.62.98(湖南省长沙市岳麓区 铁通)
110.203.95.71(湖南省长沙市 铁通)【多次断点续传】
120.55.88.144(浙江省杭州市 阿里巴巴)
116.255.177.114(河南省郑州市 联通)


总结

这次网站源码泄露事故目前看随没造成什么影响,可能还没找到篡改数据库的漏洞,在未来得到源码后分析可能找到篡改数据库的漏洞,也可能并不像黑了我。不过我还是会保留报警或起诉的权力,相关日志和证据也会保留 。最后提醒大家,备份的东西一定要移出网站的目录,除网站目录外不给IIS任何权限。吃一堑长一智,赶紧删除这个文件。

最后是我统计的日志截图