码迷,mamicode.com
首页 > 其他好文 > 详细

携程事件简单故障分析

时间:2015-06-03 23:30:27      阅读:162      评论:0      收藏:0      [点我收藏+]

标签:



互联网安全越来越严峻


自从windowsxp停止更新维护后,世界范围内的安全事件就层出不穷,几乎一发不可收拾。
windows漏洞很多,入侵windows服务器基本上不是问题,所以安全事件不可避免。
linux最近爆出很多漏洞,还有很多漏洞未爆出。
感觉unix比较安全,比如sinox操作系统。但是只是操作系统层面安全还不够,应用程序安全跟操作系统无关。
应用程序的漏洞,随着应用程序复杂度增加,漏洞可能也增加,而代码安全审核就很重要。


携程故障分析


1.线上数据全部被删,再次发布依旧被删


线上数据全部被删,可以删除数据库物理文件,sql删除数据库,恶意程序和脚本,sql都可以执行功能


再次发布依旧被删,这里假设数据库系统已经损坏,无法发布,而如果发布成功了再次删除,可能是恶意程序监测到执行删除,或者数据库sql触发机关删除。也可能是前面线上数据全部被删功能再次执行,可能是定时器执行,或者监测数据库或系统有数据增加再执行。


如果这是一个精心编写的恶意程序或者sql脚本,可以通过远程启动或者注入sql数据库执行,当然也可以远程关闭,并销毁自己,这样肇事者可能及时逃脱于无影无踪,最后变成内部操作错误。


2.数据员发现自己的云运营妹子和高层有染,然后怒删数据


监守自盗,数据库管理员拥有超级管理员权限,要删除数据,那就没办法了。备份机器数据也可以删除,谁让他是超级管理员?不过刻录光盘和磁带机应该删不掉。而且删掉数据是不是也有硬盘数据恢复软件恢复数据呢?如果粉碎了文件,那就没办法了。监守自盗不属于技术问题,是管理问题。


3.携程全线酒店数据库物理删除


且不说是谁删,怎么删,数据库文件被删除一般也可以用数据恢复软件恢复,因为文件粉粹要花很长时间,应该来不及做,所以还是有机会恢复的。恢复本机,或者恢复备份机。只是可能花几个小时以上。
黑客删除了物理文件,感觉应该是操作系统级安全问题,否则入侵应用不至于出现数据库文件物理删除。可能入侵服务器植入脚本或者木马。


4.网站服务及App全面瘫痪,内部功能均无法正常使用


数据库被删除了,自然就瘫痪了。没有数据,网站能开也没有用,app也是使用数据库的,内部功能也是要用数据库数据。所以数据就是网站的生命。


5.随后携程网回应,经过紧急排查,携程数据没有丢失,预订数据也保存完整。在恢复过程中,对用户造成的不便,携程深表歉意


总结,黑客或者内鬼删除了数据,携程只能花很长时间恢复数据。文件没有被粉粹,能恢复。下次攻击进行文件粉粹,携程就没那么幸运了。鉴于携程可能被离职员工携黑客报复,估计还会有下次。而听说携程把程序员当牲畜对待,不善待程序员员工,离职员工了解系统构建,入侵应该更容易,甚至系统已经被植入木马,等待下次启动。由于黑客对应用架构不是很了解,一般只能入侵操作系统和数据库,而不会入侵应用程序。入侵应用程序需要深入了解应用程序,只有离职员工可能做到,入侵应用程序不会删除数据库文件,而是修改和删除或者增加数据。

携程事件简单故障分析

标签:

原文地址:http://blog.csdn.net/sinox2010p1/article/details/46352705

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!