公司 iMac 上的私钥遭到了泄露，不知道泄露途径。

2015-08-07 11:57:35 +08:00

pixstone

公司 iMac 的私钥泄露了。
昨天晚上，收到阿里的报警邮件，说服务器被异地登陆。
经过检查，发现公司 iMac 上的私钥泄露了。这个私钥生成后就没拷贝到其他设备上。由于是公司电脑，就没有加密处理了。没想到泄露了。

机子上会用到私钥的软件：
MongoHub （GitHub项目首页下载的）
Sequel Pro (Air 上拷贝的，来源忘记了)
FileZiila （官网下载）
MySQLWorkbench( 官网下载)

现在在纠结到底是从什么途径泄露出去的。朱军有什么好的意见和想法么？

4626 次点击

所在节点

信息安全

20 条回复

maxsec

2015-08-07 12:46:15 +08:00

找原因前先更换掉.

pixstone

2015-08-07 12:56:52 +08:00

@maxsec
昨晚初判是私钥泄露的时候就紧急处理了，服务器上相关的 authorized_key 都处理掉了...
现在抹掉硬盘，重装系统中。

KexyBiscuit

2015-08-07 13:05:22 +08:00

@IBM

mkeith

2015-08-07 13:17:23 +08:00

是不是挂代理了啊

rio

2015-08-07 13:24:00 +08:00

你都没有加密处理，怎么能排除那些没有使用到私钥的软件呢？不过就是你个人目录下的一个普通文件，随便哪个软件都可以读取。

pixstone

2015-08-07 13:49:27 +08:00

@rio 其他软件的话，就剩迅雷 pycharm。sourcetree ，keka。然后就没了。...其他有key的服务器没有被登陆过，只有用ssh代理访问内网资源的跳板服务器被异地登录了。...

zur13l

2015-08-07 18:28:25 +08:00

@pixstone 没搞清楚原因前就格盘。如果是渗透，你找不到原因就算吧硬盘吃了，也照样泄露。

zur13l

2015-08-07 18:34:21 +08:00

@pixstone 可以检查一下是不是内网已经被渗透了。
之前就见过一个案例甲方公司IMAC上有装vnc密码是123456。（举例）
导致重装很多次后源码依然泄露。
异地登录的话如果排除是误报。公司又没有做资安的同事的话，建议找专业的团队做一下安全审计。

cuebyte

2015-08-07 18:39:51 +08:00

为什么不去问问万能的多多呢（逃

cuebyte

2015-08-07 18:46:18 +08:00

怎么判断是私钥泄露的？有禁止root登陆吗？

pixstone

2015-08-07 19:52:11 +08:00

@zur13l 渗透可能性不大，那台 iMac 上登录过几乎所有的服务器。但只有为了方便查询 MySQL 的跳板数据库被登录了。其他服务器没有，如果是渗透的应该所有服务器都会进行被登录的，毕竟拿到私钥外还要知道什么服务器可用，必然会测试其他服务器的联通性等等。

至于内网安全的话，谢谢提醒。是有开过屏幕共享这样的。

@cuebyte
ssh 那边限制了，只允许私钥登录。auth.log 也有异地登录的日志。

Radeon

2015-08-07 20:06:48 +08:00

随便什么没有sandbox的软件都有权限读 ~/.ssh/ 啊，这有什么奇怪

实际上利用浏览器的0day来读用户 ~/.ssh/ 不是老把戏了么

Radeon

2015-08-07 20:36:46 +08:00

哈，今天果然有一篇浏览器0day的报导 https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/

kiritoalex

2015-08-07 20:39:51 +08:00

有thunderbolt嗎？沒準兒是通過雷電接口感染了個病毒

auzeonfung

2015-08-07 20:52:53 +08:00

我觉得不一定是软件泄露的啊，员工泄露的可能性也不能排除吧……？

qiaoka

2015-08-07 21:44:59 +08:00

不要安装盗版软件。

pixstone

2015-08-07 21:54:24 +08:00

员工泄露的可能性不大。个人还是比较信任团队的
@auzeonfung

RIcter

2015-08-08 01:46:03 +08:00

不好說⋯可能被反彈了 shell 也說不定⋯

XV2E

2015-08-08 14:23:50 +08:00

有人想要跳槽

ipv6nxtgnwrt

2015-08-09 07:13:26 +08:00

建议全部开源，不留一个闭源软件。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/211467

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.