携程事件简单故障分析

互联网安全愈来愈严峻


自从windowsxp中止更新维护后。世界范围内的安全事件就层出不穷。差点儿一发不可收拾。
windows漏洞很是多。入侵windowsserver基本上不是问题，因此安全事件不可避免。

linux近期爆出很是多漏洞，还有很是多漏洞未爆出。
感受unix比較安全。比方sinox操做系统。但是仅仅是操做系统层面安全还不够。应用程序安全跟操做系统无关。
应用程序的漏洞，随着应用程序复杂度添加，漏洞可能也添加。而代码安全审核就很是重要。

携程故障分析


1.线上数据全部被删，再次公布依然被删


线上数据全部被删。可以删除数据库物理文件，sql删除数据库，恶意程序和脚本，sql都可以运行功能


再次公布依然被删。这里若是数据库系统已经损坏，没法公布。而若是公布成功了再次删除，多是恶意程序监測到运行删除。或者数据库sql触发机关删除。也多是前面线上数据全部被删功能再次运行，多是定时器运行。或者监測数据库或系统有数据添加再运行。


假设这是一个精心编写的恶意程序或者sql脚本。可以经过远程启动或者注入sql数据库运行，固然也可以远程关闭。并销毁本身，这样肇事者可能及时逃脱于无影无踪，最后变成内部操做错误。


2.数据员发现本身的云运营妹子和高层有染，而后怒删数据


监守自盗，数据库管理员拥有超级管理员权限。要删除数据，那就没办法了。备份机器数据也可以删除，谁让他是超级管理员？只是刻录光盘和磁带机应该删不掉。

而且删掉数据是否是也有硬盘数据恢复软件恢复数据呢？假设粉碎了文件。那就没办法了。

监守自盗不属于技术问题，是管理问题。


3.携程全线酒店数据库物理删除


且不说是谁删。怎么删。数据库文件被删除通常也可以用数据恢复软件恢复。因为文件粉粹要花很是长时间，应该来不及作，因此仍是有机会恢复的。恢复本机，或者恢复备份机。仅仅是可能花几个小时以上。
黑客删除了物理文件。感受应该是操做系统级安全问题，不然入侵应用不至于出现数据库文件物理删除。可能入侵server植入脚本或者木马。


4.站点服务及App全面瘫痪，内部功能均没法正常使用


数据库被删除了。天然就瘫痪了。

没有数据，站点能开也没实用，app也是使用数据库的。内部功能也是要用数据库数据。因此数据就是站点的生命。


5.随后携程网回应，通过紧急排查。携程数据没有丢失，预订数据也保存完整。在恢复过程当中。对用户形成的不便。携程深表歉意


总结，黑客或者内鬼删除了数据，携程仅仅能花很是长时间恢复数据。文件没有被粉粹。能恢复。下次攻击进行文件粉粹，携程就没那么幸运了。鉴于携程可能被离职员工携黑客报复，预计还会有下次。

而据说携程把程序猿当牲畜对待，不善待程序猿员工，离职员工了解系统构建，入侵应该更easy。甚至系统已经被植入木马，等待下次启动。由于黑客相应用架构不是很是了解，通常仅仅能入侵操做系统和数据库。而不会入侵应用程序。入侵应用程序需要深刻了解应用程序，仅仅有离职员工可能作到，入侵应用程序不会删除数据库文件，而是改动和删除或者添加数据。