V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
heipipi
V2EX  ›  GitLab

思细级恐啊,我们自己搭的 gitlab 的都被黑了!

  •  
  •   heipipi · 124 天前 · 17815 次点击
    这是一个创建于 124 天前的主题,其中的信息可能已经有所发展或是发生改变。

    情况是这样的,我们公司一直用 gitlab ,搭建在阿里云服务器上,作为公司内部开发代码仓库。但是一直以来,阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞,被扫描被攻击,但是我们一直也没当回事儿,觉得应该不至于出问题。

    直到今天上午,我们发现在提交代码的时候冲突,就觉得奇怪,然后就上 gitlab 看了一眼,发现被人从 gitlab 的 web 端登录,并将恶意代码提交到了我们的仓库中。。。

    顿时吓出一身冷汗啊!绝绝子!

    上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。

    各位老哥,请问有没有能替代 gitlab 的项目,最好也是开源免费的,功能不用太多,够用就行,名气最好别太大。我们已经不敢再用 gitlab 了。

    第 1 条附言  ·  123 天前
    一堆人还跟我抗。我就想问一下:
    1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
    2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
    3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
    4. 如果 gitlab 本身足够安全,放公网又如何?
    第 2 条附言  ·  123 天前
    5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
    第 3 条附言  ·  123 天前
    你们针对内网说事儿的,真的是跪的太多,站不起来了吧?什么时候一款 web 应用,只能用内网物理隔离的办法才能安全使用,居然还被认为是理所应当?还认为这毫无问题?我也是见识了!
    第 4 条附言  ·  123 天前
    有些人完全避而不谈 gitlab 本身的安全漏洞,反而告诉我应该用最粗暴最简单的的内网物理隔离才能用使用。如果 web 应用程序都做成这样,那请问还要 web 安全何用?
    243 条回复    2022-06-16 12:46:32 +08:00
    1  2  3  
    Jooooooooo
        1
    Jooooooooo  
       124 天前   ❤️ 49
    ?

    "阿里云的 WAF 时不时的报警提醒我们 gitlab 有安全漏洞"

    然后真的被攻击了

    表现很惊讶

    ?
    tomczhen
        2
    tomczhen  
       124 天前 via Android   ❤️ 1
    当然是选择自研了。

    只要不公开代码,就没黑客知道有漏洞 :doge:
    yhxx
        3
    yhxx  
       124 天前   ❤️ 34
    首先为啥你们的 gitlab 公网能访问?

    然后时不时的被提醒还不当回事,出事了觉得人家不安全?
    heipipi
        4
    heipipi  
    OP
       124 天前
    swsh007
        5
    swsh007  
       124 天前 via Android
    都内部了
    为啥用公网放代码
    opengps
        6
    opengps  
       124 天前
    安全防御稍微多点就足够了,不用替换掉
    illl
        7
    illl  
       124 天前 via iPhone
    去年出了个 rce 漏洞的嘛,及时更新问题就不大
    jim9606
        8
    jim9606  
       124 天前
    你有本事自研就来吧,看你老板愿意给你分多少经费人力时间吧,搞成了你就是公司骨干了。
    ysjiang4869
        9
    ysjiang4869  
       124 天前 via Android   ❤️ 1
    及时更新升级,限制访问 IP 等都行啊。别因噎废食啊
    icy37785
        10
    icy37785  
       124 天前 via iPhone   ❤️ 40
    不能理解,都提示有安全漏洞,说明是已知漏洞,已知漏洞一般版本更新都会修复,有更新补丁之前至少也会有临时解决方案。
    自己不当回事然后现在很吃惊的样子,我理解不了。
    然后怪人家名气大,要找名气没那么大的项目。这个脑回路我更理解不了。
    没有任何代码是没有漏洞的,名气大一般发现漏洞后被修复快,没什么人用的项目,有漏洞正在被人利用可能你都不知道。
    gitlab 至少阿里云都在提示你了。
    arischow
        11
    arischow  
       124 天前   ❤️ 23
    没这水平就直接去买服务
    skiy
        12
    skiy  
       124 天前
    只用代码仓库? gitea/gogs 可以。也可以用 V 友开发的 onedev 。另外,GitLab 可以用 docker 布署吧?升级也挺方便啊。
    xiangyuecn
        13
    xiangyuecn  
       124 天前
    暴露公网,被人多捅几下也没什么毛病吧😂
    dzdh
        14
    dzdh  
       124 天前   ❤️ 31
    一个人跟我说他有新冠。我没理他,没想到我居然也阳了。
    0o0O0o0O0o
        15
    0o0O0o0O0o  
       124 天前
    > 上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全

    你得关注更新啊
    jousca
        16
    jousca  
       124 天前   ❤️ 1
    阿里云都发现漏洞了,你不升级修补,翻车了怪人家 gitlab

    你们公司的运维都是挂职的么……
    felixcode
        17
    felixcode  
       124 天前 via Android   ❤️ 1
    这种放公网的自建服务就得有运维工作,至少得有补丁升级和安全防护。
    如果都没有,无视 waf 报警,还吓出一身冷汗,那只能说这些危险都在你们的预知范围外,更不用提怎么防范了,用什么搭建都白搭。
    没被收取天价账单费用就不错了,纯属幸运。
    kingfalse
        18
    kingfalse  
       124 天前 via Android
    gitlab 内网部署,不开放公网这不是基本常识吗。。。
    Senorsen
        19
    Senorsen  
       124 天前
    不管你们用啥,暴露到公网+不及时更新,都会被黑的。。
    Osk
        20
    Osk  
       124 天前
    就算自己开发, 也不能保证没有漏洞吧, 你引入的每一个第三方库 /框架等都会成为风险来源.

    放公网必须得有人负责维护, 关注升级, 安装更新等等.

    不然就算你们用 ssh 来做 git 后端也一样被黑.
    yangzzzzzz
        21
    yangzzzzzz  
       124 天前
    局域网
    gstqc
        22
    gstqc  
       124 天前   ❤️ 10
    贵司居然这样还被黑,我们才思细级恐
    请问贵司是做什么的,说出来让我们避避坑,2B 2C 都不敢用你们的东西啊
    potatowish
        23
    potatowish  
       124 天前 via iPhone
    常识都知道部在内网
    villivateur
        24
    villivateur  
       124 天前 via Android
    细思极恐啊,我的 Windows 服务器,密码设成 123456 ,居然被黑了
    jpyl0423
        25
    jpyl0423  
       124 天前
    公网直接开放,真的牛批,防火墙都没有吗
    ck65
        26
    ck65  
       124 天前
    简直一桩事先宣扬的谋杀案。OP 这公司的安全意识基本就是生怕缺少受害者给杀手造成困扰。瑞斯拜。
    nieyujiang
        27
    nieyujiang  
       124 天前 via iPhone
    都提示你有漏洞了,为什么不更新。留着漏洞等着过年来个透心凉嘛
    eason1874
        28
    eason1874  
       124 天前   ❤️ 4
    绝绝子,离谱到甚至分不清是真傻还是反串.jpg

    没有系统可以避免漏洞,发现漏洞只是迟早的问题,打补丁是必须的。就算内网隔离,跳板机的操作系统依赖程序也有可能出现 Heartbleed bug 这类漏洞

    你要想有一个不打补丁也不会被黑的系统,那电脑别联网
    duke807
        29
    duke807  
       124 天前 via Android
    我司用的是在境外 vps 上架的 gerrit 做內部使用,web 驗證是 apache 的用戶密碼登陸,至少用了超過 5 年,沒出過事
    公網可以訪問更方便啊,怪公網能訪問的人本末倒置了吧
    leeg810312
        30
    leeg810312  
       124 天前 via Android
    既然公网,为什么不用 saas ?自己搭建又不维护,这是什么思路?其他系统不会有漏洞?
    privil
        31
    privil  
       124 天前
    @duke807 #29 正常情况就是放内网连 vpn ,登录二次认证加强,没有独立的安全团队放外网不是找抽吗?
    SP00F
        32
    SP00F  
       124 天前
    🙁 Windows 名气也大,也有漏洞,要不也弃用了吧。。
    有漏洞的时候不更新不修复,要换其他开源的还是不更新不修复同样等着被日。最好还是花钱买服务吧
    msg7086
        33
    msg7086  
       123 天前
    ermmm 挺少见到这种发帖找骂的帖子的……
    Nnq
        34
    Nnq  
       123 天前
    你们不是云服务的 gitlab 你不老实的放内网 你还想用阿里云做个 public cooud 版本不成?
    ltkun
        35
    ltkun  
       123 天前 via Android
    @SP00F 弃用 Windows 又不影响科技发展 操作系统又不是就这一个 国家不就在这么干么
    levinit
        36
    levinit  
       123 天前 via iPhone
    云上配 opevpn ,自己连 vpn 才能访问,是起码的吧,这就解决了 99%的问题
    irainsoft
        37
    irainsoft  
       123 天前
    你们这样的安全态度,用什么软件都是被黑
    Davic1
        38
    Davic1  
       123 天前   ❤️ 1
    "上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。"

    看到这我呆住了...
    icewent
        39
    icewent  
       123 天前
    "思细级恐",这个词到底有多少种拼法?
    murmur
        40
    murmur  
       123 天前
    侧面说明是不是说阿里的漏洞扫描还是挺靠谱的
    mangoDB
        41
    mangoDB  
       123 天前
    简直就是公网裸奔。
    xuyang2
        42
    xuyang2  
       123 天前
    ____ 因为名气太大,已经被黑客研究透了,所以其实很不安全。公司今天已经要求弃用了。
    NotFoundEgg
        43
    NotFoundEgg  
       123 天前   ❤️ 1
    gitlab 部署在内网,用企业 vpn 访问
    HardStone
        44
    HardStone  
       123 天前
    😅
    ThirdFlame
        45
    ThirdFlame  
       123 天前
    任何软件都可能有漏洞。gitlab 有漏洞,阿里云拦截下,下一步正确的操作不是“无视告警” 而是尽快按照 gitlab 给的补丁进行升级。

    有漏洞不升级,出问题了,说“上网搜了一下才知道,gitlab 因为名气太大,已经被黑客研究透了,所以其实很不安全。”。
    那你不管你用啥都不会安全的。

    现在正确的操作时,打上补丁,做好访问控制。而不是去找替代 gitlab 的项目
    66beta
        46
    66beta  
       123 天前
    等一下,为什么公司 gitlab 可以被公网访问?
    chenmobuys
        47
    chenmobuys  
       123 天前
    啥软件没有漏洞,说的愣住了,这是程序员能说出的话。。。
    Felldeadbird
        48
    Felldeadbird  
       123 天前
    gitlab 应该丢内网服务器啊。丢阿里云你们不嫌弃 速度慢吗? 实在要丢公网,搞一个安全策略,只能指定 IP 访问。
    andy2415
        49
    andy2415  
       123 天前
    我不李姐
    aitaii
        50
    aitaii  
       123 天前
    两个问题:
    1.解决公网安全问题,尤其公司内部使用服务
    2.其他推荐 https://onedev.io/
    ScotGu
        51
    ScotGu  
       123 天前
    就这?你就承认这是阿里云 waf 的推广帖吧。

    如果不是,那我真担心贵司走路崴脚后会不会锯腿。
    devwolf
        52
    devwolf  
       123 天前
    方方面面让我大为震撼
    tcfenix
        53
    tcfenix  
       123 天前   ❤️ 5
    请务必告知你们公司的名称或者产品, 这样大家以后能绕着走
    pkoukk
        54
    pkoukk  
       123 天前
    我们纯内网环境的 gitlab 都 1-2 个月更新一次....
    你放外网还不更新真的心大
    g0thic
        55
    g0thic  
       123 天前
    这水平怎么知道用 gitlab 的
    Greenm
        56
    Greenm  
       123 天前   ❤️ 10
    言论太过于弱智以致于没人喷“绝绝子”
    lakehylia
        57
    lakehylia  
       123 天前
    OA 和公司资源最好都是放在公司内网防火墙后面,访问公司资源就连 vpn 啊,这不是成熟的方案了么?
    yvescheung
        58
    yvescheung  
       123 天前
    防火墙不会搞? IP 白名单不会添加??
    shiguiyou
        59
    shiguiyou  
       123 天前
    楼主被你们说的自闭了...

    小知识:大公司的代码库都要连接 vpn 才能从外网 pull/push 代码
    Bluecoda
        60
    Bluecoda  
       123 天前
    gitlab 是什么版本?你更新了吗?
    为什么提示有漏洞不修? windows/linux 自己都有漏洞,你这样要求一个 gitlab 是不是有点过分?
    ChasLui
        61
    ChasLui  
       123 天前
    曾经见到过中科大的 gitlab 公然暴露外网,而且还能注册
    mhycy
        62
    mhycy  
       123 天前   ❤️ 1
    水平烂得想骂人
    运维水平垃圾,整体网络架构烂,制度没定没落实,就别怪人家软件有漏洞,阿里都在用 gitlab
    这么简单下一个自研决定,言下之意是什么?对系统复杂度没任何预估
    这已经直接反应技术水平了
    eurry
        63
    eurry  
       123 天前
    我知道的有个 https://gogs.io/
    czfy
        64
    czfy  
       123 天前
    @shiguiyou 我觉得按照 OP 主贴语言风格反应出来的性格,不会反思不会自闭的
    ww2000e
        65
    ww2000e  
       123 天前
    开源的东西直接放公网肯定不行
    efaun
        66
    efaun  
       123 天前
    每日一蚌
    usedname
        67
    usedname  
       123 天前
    这不叫细思极恐,应该叫脑子有泡
    chenstor
        68
    chenstor  
       123 天前
    1 、内部代码库居然允许公网访问,是优秀了点
    2 、阿里云都提示漏洞居然长期不理会,也很优秀
    3 、找所谓的名气小,就安全了?
    Torpedo
        69
    Torpedo  
       123 天前
    内外分离就行了。要不就买个谁家的服务
    GOURIDE
        70
    GOURIDE  
       123 天前
    之前不是有人分享过自己团队写的 git 管理平台么
    heipipi
        71
    heipipi  
    OP
       123 天前   ❤️ 1
    一堆人还跟我抗。我就想问一下:
    1. 一款 web 应用,不能放在互联网,你们居然觉得理所应当?居然不觉得自相矛盾?
    2. gitlab 放在公开 web 上被黑了,你们一股脑都说是我的网络环境问题,gitlab 就毫无问题? gitlab 本身漏洞百出也是理所应当?
    3. gitlab 官方也没说过必须放在内网才能用?你们在这自以为是什么东西?
    4. 如果 gitlab 本身足够安全,放公网又如何?
    heipipi
        72
    heipipi  
    OP
       123 天前
    5. 还有些人张口就说我没升级,请问您知道我用的版本?您是会算还是会猜?
    labulaka521
        73
    labulaka521  
       123 天前   ❤️ 1
    你给 gitlab 钱了吗
    什么公司说出来让大家乐呵乐呵
    godmiracle
        74
    godmiracle  
       123 天前
    提示你漏洞 你还不更新修复漏洞 不是自找的?
    encro
        75
    encro  
       123 天前
    阿里云 codeup 随便,腾讯 coding
    ncepuzs
        76
    ncepuzs  
       123 天前
    看了楼主的附言,只觉牛逼哄哄,但不知为何忍不住发笑
    xFrye
        77
    xFrye  
       123 天前
    啊这,gitlab 公网能直接访问这什么操作,这不是在公司内网部署的仓库?为什么 web 应用就一定得要放互联网啊,这前后有必然的联系吗?
    ishengge
        78
    ishengge  
       123 天前
    想笑了。啊哈哈
    shyling
        79
    shyling  
       123 天前
    反串表演吗。。。有点绷不住
    ExplorerLog
        80
    ExplorerLog  
       123 天前
    gitlab 说 update asap ,你没当回事,你说 gitlab 有问题

    杀毒软件让你更新病毒库,你不更新,中毒了,你说杀毒软件不行
    Tokin
        81
    Tokin  
       123 天前
    大开眼界
    tcpdump
        82
    tcpdump  
       123 天前
    附言牛逼,我突然想明白了,理解万岁
    pandaaa
        83
    pandaaa  
       123 天前
    今日笑谈哈哈
    HardStone
        84
    HardStone  
       123 天前   ❤️ 4
    @heipipi #71 (翻译翻译)
    1. 钱不就是拿出去外面花嘛, 为什么不能直接把银行卡放在大街上
    2. 银行卡被盗用了, 你们就一股脑说我的密码设置简单, 银行卡就毫无问题? 银行为什么不验证是不是我本人不是理所应当?
    3. 银行本身也没说银行卡必须放在家里
    4. 如果银行验证程序足够全面, 放在门口 /大街 /公厕又如何
    5. 有些人张口就说让我放好设置复杂密码, 请问您知道我放在哪里? 密码是什么? 您是会算还是会猜
    guaguaguaxia1
        85
    guaguaguaxia1  
       123 天前
    gitlab 公网能访问,就知道楼主什么水平了
    heipipi
        86
    heipipi  
    OP
       123 天前
    @guaguaguaxia1 按你的逻辑,gitlab 放在公网就是水平底下。那么 gitlab.com 也在公网访问,那么 gitlab 官方是什么水平?
    dzdh
        87
    dzdh  
       123 天前
    @dzdh #14

    喂喂喂!!我这是反讽啊!!!不是我真阳了啊!!!!
    heipipi
        88
    heipipi  
    OP
       123 天前
    @HardStone 可以称你为偷换概念的专家
    lovelynn
        89
    lovelynn  
       123 天前   ❤️ 1
    回答一下楼主升级的回答,如果你已经是最高的 gitlab 版本,依然在黑客没有可用账号密码的情况下 gitlab 被黑,那么恭喜你 你可能捕获了一个 0day 这可是很值钱的~
    so1n
        90
    so1n  
       123 天前
    这个可以公网访问 gitlab 仓库的操作真的牛逼了.....
    superchijinpeng
        91
    superchijinpeng  
       123 天前   ❤️ 2
    神操作,既然都放公网了,为什么不直接用 gitlab.com ,还能省去运维成本,笑
    wangyzj
        92
    wangyzj  
       123 天前
    如果代码库很重要就不要放在公网,至少要过一层 vpn
    gitlab 更新频率很高,更新了一般不会有这种问题
    so
    ncepuzs
        93
    ncepuzs  
       123 天前
    @ChasLui #61 这个原本就是计划对外提供服务的,后来才转向仅限校内用户注册。公网访问没啥啊,安全措施到位,运维团队(科大 Linux 用户协会,提供的其他公共服务包括科大镜像站等)给力就行。
    nullboy
        94
    nullboy  
       123 天前
    附言牛逼,po 主脑回路清奇
    so1n
        95
    so1n  
       123 天前
    @heipipi 不是。。。。别人说的是代码仓 你说的是官网 如果你不是运维你这样说还可以 如果你是运维 这样说就是安全意识薄弱了 任何东西放在公网都会被攻击,最低成本的解决办法就是放内网,然后用内部网络 /公司 VPN 访问,不然就需要人力去维护
    HardStone
        96
    HardStone  
       123 天前
    @heipipi #88 只是想说, 什么事情都有两面, 享受好处的同时尽量避免坏处, 一味寻找"下一个"只会没有尽头
    其他大佬们说的问题我也不是完全赞同, 因为我们公司也是公网访问
    但是我们公司有很多层验证, 邮箱 /2FA, 出现问题的时候也会停机维护及时更新 /修复
    iamdaguduizhang
        97
    iamdaguduizhang  
       123 天前   ❤️ 1
    “你的东西都给我公开免费用了,怎么能有问题哪,你真是个王八蛋!!!”
    pinkbook
        98
    pinkbook  
       123 天前   ❤️ 1
    看了附言,噗~~,充分体现了 lz 的自大和无知。以及不思进取。
    建议说出公司及产品名字,大家避雷。
    楼上说的很清楚了,没有任何一个程序是完全无漏洞的(即使现在没有,以后也会有),连 log4j 都能都大的 bug ,难道大家都不用了???
    看来你们公司根本没有专业的安全团队,笑死。哪天公司服务器被勒索了,就知道哭了。
    人不行怪路不平!
    lovelynn
        99
    lovelynn  
       123 天前   ❤️ 1
    gitlab 的权限管理很多可以配置的,不开放注册并且没有弱口令的情况下 很难造成类似楼主的这种安全问题。介于楼主阿里云的告警,基本都是基于已经公开的 gitlab 安全漏洞才会告警,这一点就可以证明楼主的 gitlab 并没有升级到最新版本。安全圈里有句话,没有安全的系统。即使像 spring 、log4j 这种使用普及的项目 也依然曾经出现重大安全问题。如果因为安全问题弃用 gitlab ,那你大概率找不到更安全的开源代码管理系统。其次楼上说的 gitlab 不应开放在公网,这点我也是认可的。gitlab 历史上出现的一些模版注入、或者命令注入引起的 RCE ,因其业务复杂 很难保证不出现在其他地方。使用 VPN 也可以防范于未然
    zpfhbyx
        100
    zpfhbyx  
       123 天前
    @pinkbook 估计服务器被勒索了..还要怪*nix 你让免费用, 还开源.. 让人玩透了,果断换 mac 当服务器, 闭源 有漏洞正常
    1  2  3  
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1272 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 18:37 · PVG 02:37 · LAX 11:37 · JFK 14:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.