吐槽 G01,希望坑里的人数不多吧

268 天前
 markgor
0x01 故事的背景:
20 年的时候,之前一直用安全狗旗下的防护软件,但后来由于偶尔连接不上控制中心或服务失效要手动重启,并且当时要求进行网安备案,在网安备案的页面中看到了个打着公 an 第 xxx 研究所出品的防护产品网防 G01 ,对比了下功能刚好足够平替,并且有公 An 做背书的,打着专为中小企定做的旗号....就直接替换掉了。

0x02 故事经历:
使用至今,唯一缺陷就是资源占用比核心业务占用还要高,但是想想,老罗的那句话,又不是不能用,所以....

0x03 风暴来临前的阳光:
年前突然收到云主机新的告警,IOPS 超出 3500 ,然后 3 分钟左右推送告警恢复,dog sun,这个业务机上的业务几年了都没怎么变更,是什么导致的呢..........
没办法,只能爬上去蹲点查看具体是哪个进程再虐待硬盘,此时就像盖伦一样躲在草丛中打开 IOTOP 查看,但看了半天啥都没有,只能灰溜溜地关闭,心想可能是误报。
次日,又是 12 点左右收到了告警,此时急不及待打开终端查找谜一样的答案,最终从业务日记翻到系统服务日记,无法精准定位问题,但发现可能和之前一个停了的业务有关(对方服务停了,域名下架了,但是我们这边还没下架该服务,导致日志出现一堆 域名解释失败)。当时心里百花齐放,真 tm 开心,以为找对了 G 点,捅一下就能解决问题了,遂马上把相关业务代码下架了,继续在草丛中狗了一天,还没收到任何告警,心里想着终于可以美美地过一个年了,然后就不当一回事。

0x04 风暴来临了:
年 30 喝多了,年初一还窝在被窝中,突然熟悉的陌生人发来了消息....IOPS 突发 3500........我内心一万只草泥马飞快地奔跑着,不过想想,之前不几十秒就恢复了,当监控给我的拜年信息好了,谁知道噩梦终究降临,收到现场业务信息,服务挂了不可用.....马上爬起来开电脑准备进入战场,刚连上 wifi 刷好牙洗好脸后收到了业务撤回信息......恍然发现老人常说的起床第一件事就是刷牙洗脸原来真实大智慧。但反正都开了电脑,就进去看看啥情况,不过这次也和之前一样,什么案发现场都没留下......

0x05 这就完了?
年初三,由于手上任务比较多,还是选择回公司上班,顺带梳理下之前收集的信息,然后一个个服务爬一个个服务找,突然想到,有没有可能内存用完了走了 swap 导致的异常呢....
查看了下,发现内存还有 400MB ,再查看内存占用大户,发现了 gov_defence_agent 占用了 45%以上的内存,再进一步设想,还是不设想了,直接爬进去查查 gov_defence_agent 相关日志吧....
接着发现,通过 tail -f 查看目录下的文件,有一个文件分快的刷屏,其余文件 1 分钟写入几条信息,一看信息全是 域名解释失败或连接失败。
如梦初醒般地我马上打开 G02 官网,发现打不开了,通过百度也只能查看到历史的说明,oh 对了,还有个 gitbook 的页面是能打开的,接着再打开网 an 备案的官网,发现中小企业安防...还在,点进去却是另一个产品..............
按还在的 gitbook 安装验证,telnet 几个服务用到的域名,全都失效。猜测大概率是 G01 下架了,换了另一个服务上。
诶~以后只要打着和 GOV 相关的东西,能不碰还是不碰了,说停就停也不出个提前通知。

给再用 G01 的伙伴们一个提醒吧,如果你的服务器装了 G01 ,并且时不时出现 IOPS 异常飚高或服务间接性无法使用,直接把 G01 停了,你会发现春天来了。
3360 次点击
所在节点    信息安全
15 条回复
Soo0
268 天前
没想到真有人用
fatekey
268 天前
G01 说是 XX 研究所出品,但是我怀疑是 OEM 的奇安信云锁,报价好像还比云锁高?
Wyearn
268 天前
@fatekey 不是奇安信的,青藤云的
markgor
268 天前
@fatekey 云锁的,100%确认
markgor
268 天前
@Wyearn 青藤云应该是现在的那个吧,之前的网防 G01 就是云锁定制版
markgor
268 天前
@Soo0 毕竟在中小企业中,除了开源的 waf 外,只有服务器安全狗和网防 G01 实用功能比较多;
至于云锁之类的,之前是我没了解到。
而且 G01 除了资源占用有点夸张外,也算是“免费使用”了 3 年多了,只是真的意想不到 GOV 提供的也是说停就停没任何通知......
phrack
268 天前
waf 吗?长亭之前出了个免费版的什么 waf 听说口碑还可以
just1
268 天前
neroxps
267 天前
这种事在我司,基本就是客户上班发现炸了才告诉我们
markgor
267 天前
@neroxps 偶现的还好吧,毕竟持续时间也不算太长。
neroxps
267 天前
@markgor emm 我司的 saas 是炸了半天公司里的运维也不知道,客户说用不了才知道
xlh001
266 天前
云锁 oem 版
mytsing520
266 天前
有很多可供选择的产品,收费的也有。
另外个人建议,WAF 这种东西不应该放业务服务器
fearMAN
262 天前
这东西用过的懂得都懂,也就政府单位用这个
markgor
262 天前
@fearMAN 也是抱着这个心理,有问题也有人垫底。

@mytsing520 明白,但也要考虑实际情况,公司接受肯定独立比较稳妥或最方便直接用云 waf 或 ids 之类,但......

@neroxps 之前云服务挂过(底层服务),所以对于资源极限占用都添加了告警信息,短信和微信推送。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1015464

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX