今天在知乎看了个帖子,不知道千万云这次怎么搞。原帖地址: https://www.zhihu.com/question/60496554
用阿里云的同学务必关闭其镜像中默认安装 的 Snort / gshelld / aliyun-service / aegis 相关的所有进程,特别是前两个,方法是直接删除文件并重启,别问为什么,别问我怎么知道的,我特么更新了一晚上 PKI 了,所有密钥和服务器证书全换了。
下周 XX 所有服务包括邮箱全换到独立服务器,国内的云无法信任。
说下细节,由于我们需要做 一个爬虫来抓取各使馆网站获得最新消息和 签证进度,鉴于使馆网站都在国外,所以设定了一个 ipsec 的隧道连接到日本的服务器做 抓取,阿里服务器做提取并通过另外一条隧 道传回公司内网。
然后我发现在特定时间点,抓取特定内容时,内网服务器报连接重置, 而在阿里服务器上模拟是抓的到的,看抓取目标发现页面上有某些你懂得关键词。
然后问题来了,既然出口服务器,阿里服务器内网服务器之间都是加密连接,那 gfw 是如何检测出关键词的呢? 显然这个重置不是墙发出的。
而唯一的明文传输是在本机端口之间发生的,杀掉上述进程后,抓取恢复,再也没出现连接重置。
所以我有理由怀疑阿里在监控客户主机的本机端口流量,并对某些内容发出 REST。
更进一步,是否获得了我的私钥和整个 PKI 体系的关键密文?我不清楚,但显然是有能力做到的。
这件事情极为可怕,而且经过日志分析发现这个行为是随机发生的,很难取证,欢迎大家按我的步骤复现看下,但一定要跑的时间足够久才能发现。
如果不仅仅是监控而是同时侧录内容呢?用户隐私基本就全被看光光了,本机端口的流量谁也不会加密,也没法加密啊。
其实对于阿里云的安全策略我一直有所耳闻,圈里的同学也都说过这个事情,不过这种情况到底算不算侵犯用户隐私呢?用户的数据还敢不敢放在云上?对于这类事情有没有相关的法律以及措施?
抱歉,帖子是我转过来的。
不过这个事情没有真相之前,我是不会删贴的。
![]() | 1 qcloud 2017-05-31 12:18:29 +08:00 via iPhone ![]() 万一再来一个一千万可咋整 |
![]() | 3 mornlight 2017-05-31 12:29:31 +08:00 aegis 好像是云盾 |
![]() | 4 Leafove 2017-05-31 12:31:03 +08:00 使用阿里的产品无差别默认自己是裸奔模式,到现在还不明白?! |
5 DoraJDJ 2017-05-31 12:32:57 +08:00 多谢打醒,原本还想考虑用 HKB 搭个$$用 |
6 lyhiving 2017-05-31 12:35:34 +08:00 via Android 阿里云技术很先进,不要以为这样就可以。逃 |
![]() | 7 15015613 2017-05-31 12:36:23 +08:00 via Android 现在知乎必须要登录了吗? |
![]() | 9 shiji 2017-05-31 12:54:01 +08:00 via Android 第一要务难道不是要把这几个相关的程序掏出来逆向一下么?不去深入研究一下不符合风格啊。。 至于作者如何害怕想想如何恐怖之类的能不能等这边证据确凿了再开始抒情? |
11 notreami 2017-05-31 13:37:07 +08:00 坐等公关+水文,顺便提高下难度。不要科普架构,也不要科普什么安全。科普下法律法规,以及如果出现泄漏,如何处理。 |
![]() | 12 19zero 2017-05-31 13:44:09 +08:00 先骑墙,不过看起来有点像阴谋论,不深入一下就扣个帽子,不妥 |
13 n6DD1A640 2017-05-31 13:58:06 +08:00 前排瓜子板凳已备,坐等公关 |
14 mooncakejs 2017-05-31 14:00:30 +08:00 黑的好厉害, 没有关键性证据就发这种文章,罚一千万都是应该的。 |
![]() | 16 liuyq 2017-05-31 14:04:42 +08:00 利益相关,不多说。关注一些具体怎么处理以及相关的法规吧。 |
17 jasontse 2017-05-31 14:05:17 +08:00 via iPad 这帖子价值一千万也不稀奇,反正是我穷我有理。 |
![]() | 18 Quaintjade 2017-05-31 14:05:22 +08:00 via Android ![]() 用阿里产品默认裸奔+1 有个底层程序常驻系统,有什么做不到的?安全软件和木马的区别有时仅在于善意还是恶意。 很记得久之前云盾因为 bug 导致误删文件引过争议,我以为很多人都知道这几个程序。后来因为允许关闭+误删率低+确实有用,所以没人再提。 /t/217931 |
![]() | 19 19zero 2017-05-31 14:09:11 +08:00 刚上 ECS 看了下,没有发现这个所谓的 snort 进程啊,你们都有这个进程么? |
![]() | 20 stevele OP 感谢大家的回帖,期待阿里官方的回复以及解决办法。 |
![]() | 21 jiangzhuo 2017-05-31 14:17:55 +08:00 肯定是阿里云的软文,看得我都想去开台阿里云的 ECS 去下载这几个程序来逆向了(逃 |
![]() | 22 Quaintjade 2017-05-31 14:19:32 +08:00 via Android 另外 openvz,kvm 的母鸡复制出小鸡的 pki 私钥文件也不难。 |
25 6oML852dJf9Kn2l7 2017-05-31 14:35:48 +08:00 等会?楼主?你能删帖? |
26 RqPS6rhmP3Nyn3Tm 2017-05-31 14:38:01 +08:00 说的好像你能删帖一样 |
![]() | 27 akira 2017-05-31 14:38:42 +08:00 全是猜测 ,没证据说个锤子啊 |
![]() | 28 solomaster 2017-05-31 14:45:15 +08:00 国家规定。别只怪到某个企业头上。你问我哪条规定?不要问我……当我放屁就好。 |
![]() | 29 solomaster 2017-05-31 14:46:11 +08:00 @solomaster 上条消息纯属胡闹,已作废。请无视。:) |
![]() | 30 aliyunservice 2017-05-31 14:47:23 +08:00 请大家勿传播未经证实的猜测,稍后可关注阿里云正式的技术说明。 |
![]() | 31 mokeyjay 2017-05-31 14:48:20 +08:00 ![]() @aliyunservice #30 是技术说明还是面额 1000W 的法院传票? |
![]() | 32 iyaozhen 2017-05-31 14:49:45 +08:00 不用打码吧。 发朋友圈的也算是业内的大 V (名人)了。 |
![]() | 33 jingniao 2017-05-31 14:51:34 +08:00 稍微有点云计算常识的应该都知道 这里面不存在技术问题,只有做不做跟做到哪步的问题 不过好多用户不关心你是不是能看我的数据的…… |
34 Netherlands 2017-05-31 14:51:37 +08:00 via iPhone 自己的阿里云 ss,莫名其妙隔几十分钟就无法连接,再等一两分钟又好了,换过几个 vps,一直都是这样 |
![]() | 35 ScotGu 2017-05-31 14:52:09 +08:00 我有理由相信不止只有一套软件层面的墙。 |
![]() | 36 ovear 2017-05-31 14:55:14 +08:00 关注 |
37 robinshi2010 2017-05-31 15:47:07 +08:00 @iyaozhen 确实没必要打码。原 po 微信都说了可转载。 |
![]() | 38 stevele OP @aliyunservice 未证实是啥意思,都不能说话得咯 |
![]() | 39 crisfun 2017-05-31 15:59:04 +08:00 via iPhone 你国资本主义专政啊,说几句怀疑就要担心 1000 万 |
![]() | 40 changwei 2017-05-31 16:01:44 +08:00 就算是数据传输通道加密了,但是你硬盘都在人家机房里面了,人家想看你数据库数据还不是分分钟的事情。这种就是看业界良心了 |
![]() | 41 Crossin 2017-05-31 16:01:58 +08:00 坐等删帖,见证大事件 |
![]() | 42 jarlyyn 2017-05-31 17:25:46 +08:00 "不过这个事情没有真相之前,我是不会删贴的。" 然后一共发过 3 个帖子,两个是怼阿里云的。 虽然我也开贴骂过阿里云,但…… |
![]() | 43 lilifenghao44 2017-05-31 17:30:59 +08:00 坐等公关 |
![]() | 44 surfire91 2017-05-31 17:57:13 +08:00 |
45 gulangyu 2017-05-31 18:02:08 +08:00 via Android 一千万是什么梗? |
47 roooz 2017-05-31 18:17:45 +08:00 受争议的中国网络安全法即将于 6 月 1 日生效,新的规定加强了对科技产品的限制。 网络安全法除了要求将数据储存在本国外,还要求对关键硬件和软件进行安全审查,要求实现“安全可控”。对于这些要求,外国行业组织在致函中国的信中认为,这些措施增加了负担,限制了竞争,可能会降低产品的安全性,危及中国公民的隐私。中国国内的专家支持这些改变。北邮研究互联网管控的教授李玉晓称,网络安全对国家安全至关重要。 |
![]() | 48 aliyunservice 2017-05-31 18:25:35 +08:00 各位好,详情请查看官微声明: http://weibo.com/1644971875/F5FnTeIMa?type=comment |
![]() | 49 gouchaoer 2017-05-31 18:30:01 +08:00 via Android @jingniao 你说说阿里云怎么做到监控 https 内容的,就算在 ecs 上安装阿里的证书也做不到啊 |
![]() | 50 iyaozhen 2017-05-31 18:48:31 +08:00 @aliyunservice 赞,官微回复很及时。但是没有解释用户现象的原因,不能让我等“阴谋论的吃瓜观众”信服呀 |
51 Havee 2017-05-31 18:59:41 +08:00 看不到...微博需要登陆,然微博账户早成僵尸大军中的一员了。 |
![]() | 52 shanks 2017-05-31 19:05:40 +08:00 "阿里在监控客户主机的本机端口流量,并对某些内容发出 REST " 说的好像你这里很多商业机密一样。。。。aliyun 会为了配合 ZF 做审查,把公司信誉都压上去吗?现在 aliyun 是什么体量?不说动机,Linux server 场景这么复杂,单纯是这个实现也不容易吧?还消耗了 VM 的性能,做这种吃力不讨好的事,脑子进水? 所以说,不要听风就是雨,将来报道出了偏差,你要负责任 (滑稽 |
![]() | 53 jingniao 2017-05-31 19:07:11 +08:00 @gouchaoer 监控 https ?具体技术细节不太清楚,但阿里云的云盾有 root 权限,你觉得它什么事情干不到?根本没必要管你什么 https 的。 |
![]() | 54 asdwddd 2017-05-31 19:07:33 +08:00 又一个类似的帖子?那就再回复下 极尽一切手段窃取用户的隐私,看看安卓支付宝客户端做的恶心行为就知道了 云主机虽然有登录密码,但是阿里随时可以绕过查看服务器的资料的 但是,你要无条件相信阿里的节操 人家声明了还不够么? 自从没点接受协议,支付宝就强制开通了芝麻信用! 对阿里把用户当煞笔忽悠的行为深恶痛绝! |
![]() | 55 asdwddd 2017-05-31 19:13:50 +08:00 @shanks 说的好像你这里很多商业机密一样。。。。aliyun 会为了配合 ZF 做审查...... 不要把什么锅都摔给 ZF,这地洗的 流氓行为窃取用户隐私目的是来做广告赚钱的 支付宝安卓客户端做得像木马一样的,看看微信难道就不配合 ZF 了 尼玛真无耻,自己做得破事还怪到 ZF 头上! |
![]() | 56 shanks 2017-05-31 19:21:23 +08:00 "然后我发现在特定时间点,抓取特定内容时,内网服务器报连接重置, 而在阿里服务器上模拟是抓的到的,看抓取目标发现页面上有某些你懂得关键词。" @asdwddd 原帖的意思明显就是做审查啊,不然干嘛要特意提关键字? |
![]() | 57 withlqs 2017-05-31 19:24:21 +08:00 主人公怕是连基本的网络层概念知识都很欠缺.... |
58 roooz 2017-05-31 19:49:40 +08:00 @asdwddd 建议你看看一本当今 ZF 不准看的书,《雾&锁#中 @国》,并不是什么野鸡作者写的,看完可能会对你这种心态有改善 |
![]() | 59 Jzer0n 2017-05-31 20:40:36 +08:00 我相信阿里云是不会这样做的!!! 就好比: 我相信腾讯不会把我们的聊天记录上交给任何政府部门!!! 我相信百度云也没有任何的 8 秒安全教育片!!! |
![]() | 60 asdwddd 2017-05-31 20:45:12 +08:00 @roooz 不敢看 涉及政治的 风险极大 不要命了呀 刚发了贴子 说了下自己遇到的两件事,就被人威胁恐吓准备 100 万 1000 万 发个贴,阿里有这么可怕吗? 提醒:慎用阿里 DNS !窃取和跟踪用户隐私. t/365011#reply23 |
![]() | 61 asdwddd 2017-05-31 20:49:44 +08:00 @roooz 网上也有好多境外敌对的分子怂恿年轻人,我只是针对阿里云,没针对政府,国外那么多恐怖袭击事情,国内的审查也是必须的,自己不做违法的事情倒是没什么怕的,就是对骚扰电话,窃取用户隐私的行为很反感! |
62 roooz 2017-05-31 21:00:02 +08:00 |
63 t6attack 2017-05-31 21:17:31 +08:00 我也认为是源作者判断错误。虚拟主机、VPS、云主机,在宿主机面前,本身就是全透明的。 人家要拿数据、要监控内容,可以直接拷贝、扫描整个硬盘,没必要费劲搞这些。 |
64 mingyun 2017-05-31 22:53:39 +08:00 吃瓜群众到场 |
![]() | 65 580a388da131 2017-05-31 22:58:51 +08:00 @roooz 何清涟的私货太多 |
![]() | 66 wangdu2012 2017-05-31 23:01:20 +08:00 via iPhone 国内云,慎重 |
67 yangff 2017-05-31 23:01:53 +08:00 所以说有人 backup 了样本没?发上来看看啊? |
![]() | 68 matthewgao 2017-06-01 09:14:31 +08:00 via iPhone 阿里云怎么会用 snort... 开玩笑 |
![]() | 69 jinhan13789991 2017-06-01 09:27:28 +08:00 经证实属实,亲爱的用户,恭喜您得到我公司为您特别定制的 1000W/年的专业定制化云主机套餐一份,套餐包含以下内容:双核 512M 内存,2G 云硬盘。请您尽快激活使用。 激活后发现:带宽为 0,想用还要花钱买带宽。 |
![]() | 71 19zero 2017-06-01 09:59:43 +08:00 关于数据安全保护的声明 今天有客户反映,使用阿里云服务器部署爬虫业务时发现网络连接不稳定的现象,怀疑可能是 gshelld、aliyun-service、Aegis、Snort 四个程序导致的。 我们在此郑重声明:阿里云的所有程序不会查看客户的密钥和服务器证书,也不会检测客户服务器的端口流量数据。 gshelld、aliyun-service 和 Aegis 是阿里云镜像自带的程序。其中,gshelld 是 ECS 上 XEN 自有的一个开源程序,主要负责 XEN 上面虚拟机的初始化、管控等功能; aliyun-service 是阿里云 KVM 平台 ECS 虚拟机配置进程,是 qemu 的一个开源模块,主要负责 KVM 上面的虚拟机的初始化功能; Aegis 包括 AliYunDun 和 AliYunDunUpdate 两个进程,主要负责安全防御和安骑士升级更新。 客户提及的四个进程中,Snort 并不是阿里云官方镜像默认的程序,而是一款常用的开源入侵检测软件,建议客户查看 Snort 规则配置是否影响爬虫服务。 阿里云一直将保护客户数据隐私和数据安全视作生命线。未经客户授权,阿里云绝不会擅自查看客户敏感数据,包括但不限于端口流量,私钥、PKI 关键密文等。 我们相信,透明的沟通是信任的基石。关于数据安全,我们欢迎一切形式的质询。 阿里云 5 月 31 日 楼上有句话说的对,阿里云真的想要看你的数据、监控内容,直接扫整个硬盘就行了,没必要费劲搞这些。 |
![]() | 72 Reign 2017-06-01 10:35:08 +08:00 抛开问题,你咋删帖?我很想知道 |
73 nodeath 2017-06-01 11:06:21 +08:00 抛开问题,你咋删帖?我很想知道 ls+1 |
![]() | 74 zieglar 2017-06-01 12:22:47 +08:00 楼主不要乱立 flag |