现在开发越来越依靠镜像站,这些站被投毒了怎么办?

2015-12-18 20:20:29 +08:00
 jin5354
npm -> 淘宝 npm 镜像站
gem -> 淘宝 gem 镜像站
brew -> 清华 tuna 镜像站
pip -> 清华、中科院镜像站
等等。。

有了上次的 xcodeghost 事件,让人开始担心这些镜像站的安全性,万一哪天被黑了,被挂马了,岂不是又要感染一大片?
5787 次点击
所在节点    问与答
37 条回复
vietor
2015-12-18 20:22:39 +08:00
后果自负
Halry
2015-12-18 20:24:42 +08:00
pgp key 验证,除非你刚开始的 pgp key 就是毒的
Kirscheis
2015-12-18 20:29:58 +08:00
包是会验证签名的啊。。。
chemzqm
2015-12-18 20:39:29 +08:00
brew 的 hash 是写在代码里的,想投毒貌似只能把你下到本地的 brew 代码也改了,应该不容易。
brew 和 npm 一般是不需要 sudo 权限的,就算有恶意代码也干不了啥吧
TakanashiAzusa
2015-12-18 20:42:30 +08:00
npm 包都人考虑过投毒
VmuTargh
2015-12-18 20:46:01 +08:00
科大源被攻击过
loading
2015-12-18 20:53:39 +08:00
有 pgp key ,虽然很多人都不知道是什么,如何用,有些用了也不知道…

为什么不去怀疑 windows 自带后门…
wy315700
2015-12-18 21:06:50 +08:00
作为运营镜像站的人忍不住冒出来说一句,

怀疑主动投毒的,想多了,

怀疑被动投毒的,如果有人有能力黑一个仅开了 HTTP 服务的机器,他就不需要去黑镜像站了,能做的事情多了去了。
kiritoalex
2015-12-18 21:38:37 +08:00
对的, USTC 的源曾经被攻击过,攻击后的服务器自动给每个文件的头加上了随机的数据
被攻击是由于管理服务器的前 USTC 会长的 SSH 客户端( windows 下)被感染的 dll 所截取数据,服务器的恢复大概花费了一段时间,因为镜像做一次全新同步会给学校网络带来非常大的负担,于是这个镜像就暂时没有全部做同步,而是采取类似于增量覆盖的方式进行的替换
wy315700
2015-12-18 21:43:41 +08:00
@kiritoalex

这攻击也太 不小心了。。。
wy315700
2015-12-18 21:44:54 +08:00
@kiritoalex 不过我想问一句,他们的服务器 SSH 难道没有禁止外网访问吗,,,
jin5354
2015-12-18 22:00:38 +08:00
@Kirscheis 印象中 npm 和 gem 比较频繁请求 sudo 的,否则会报 permission denied

@wy315700 说到主动投毒,我并不怀疑各位人品,但是我想,搭建开源镜像站的技术都是公开的,所以黑产是不是可以自己搭一个钓鱼镜像站散布出来,就像在闹市区放一个公开 wifi 抓密码一样
jin5354
2015-12-18 22:02:39 +08:00
@loading 确实是新知道 pgp key ,赶紧去学习一发涨姿势
chemzqm
2015-12-18 22:06:59 +08:00
https://github.com/ChALkeR/notes/blob/master/Do-not-underestimate-credentials-leaks.md
这里披露了一些泄露登录信息的 npm 包,确实存在投毒的可能性,尤其是 express ,太多公司在用了,而且负责关键的 http 接口
BSD
2015-12-18 23:17:16 +08:00
所以,我都是在 https 官网先找到 hash 后再到镜像站下载,官网没公布 hash 的,就能只能弃了。。。
kiritoalex
2015-12-18 23:39:03 +08:00
@wy315700 可能是科大里的黑帽子做的。。。。。。
mzer0
2015-12-19 00:03:48 +08:00
@wy315700 你维护的哪个镜像站?
wy315700
2015-12-19 00:07:14 +08:00
@mzer0
http://mirrors.opencas.cn/
中科院镜像啊,
mzer0
2015-12-19 00:13:43 +08:00
@wy315700 镜像站是怎么做的? 要联系母站吗?
wy315700
2015-12-19 00:15:19 +08:00
@mzer0
一般开源软件都有做镜像的方法的
比如 centos 的 https://wiki.centos.org/HowTos/CreatePublicMirrors
使用 rsync 同步以后,申请加入官方镜像
一般是发邮件申请或者是加入到邮件列表

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/244547

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX