攜程事件簡單故障分析

互聯網安全愈來愈嚴峻


自從windowsxp中止更新維護後。世界範圍內的安全事件就層出不窮。差點兒一發不可收拾。
windows漏洞很是多。入侵windowsserver基本上不是問題，因此安全事件不可避免。

linux近期爆出很是多漏洞，還有很是多漏洞未爆出。
感受unix比較安全。比方sinox操做系統。但是僅僅是操做系統層面安全還不夠。應用程序安全跟操做系統無關。
應用程序的漏洞，隨着應用程序複雜度添加，漏洞可能也添加。而代碼安全審覈就很是重要。

攜程故障分析


1.線上數據全部被刪，再次公佈依然被刪


線上數據全部被刪。可以刪除數據庫物理文件，sql刪除數據庫，惡意程序和腳本，sql都可以運行功能


再次公佈依然被刪。這裏若是數據庫系統已經損壞，沒法公佈。而若是公佈成功了再次刪除，多是惡意程序監測到運行刪除。或者數據庫sql觸發機關刪除。也多是前面線上數據全部被刪功能再次運行，多是定時器運行。或者監測數據庫或系統有數據添加再運行。


假設這是一個精心編寫的惡意程序或者sql腳本。可以經過遠程啓動或者注入sql數據庫運行，固然也可以遠程關閉。並銷燬本身，這樣肇事者可能及時逃脫於無影無蹤，最後變成內部操做錯誤。


2.數據員發現本身的雲運營妹子和高層有染，而後怒刪數據


監守自盜，數據庫管理員擁有超級管理員權限。要刪除數據，那就沒辦法了。備份機器數據也可以刪除，誰讓他是超級管理員？只是刻錄光盤和磁帶機應該刪不掉。

而且刪掉數據是否是也有硬盤數據恢復軟件恢復數據呢？假設粉碎了文件。那就沒辦法了。

監守自盜不屬於技術問題，是管理問題。


3.攜程全線酒店數據庫物理刪除


且不說是誰刪。怎麼刪。數據庫文件被刪除通常也可以用數據恢復軟件恢復。因爲文件粉粹要花很是長時間，應該來不及作，因此仍是有機會恢復的。恢復本機，或者恢復備份機。僅僅是可能花幾個小時以上。
黑客刪除了物理文件。感受應該是操做系統級安全問題，不然入侵應用不至於出現數據庫文件物理刪除。可能入侵server植入腳本或者木馬。


4.站點服務及App全面癱瘓，內部功能均沒法正常使用


數據庫被刪除了。天然就癱瘓了。

沒有數據，站點能開也沒實用，app也是使用數據庫的。內部功能也是要用數據庫數據。因此數據就是站點的生命。


5.隨後攜程網迴應，通過緊急排查。攜程數據沒有丟失，預訂數據也保存完整。在恢復過程當中。對用戶形成的不便。攜程深表歉意


總結，黑客或者內鬼刪除了數據，攜程僅僅能花很是長時間恢復數據。文件沒有被粉粹。能恢復。下次攻擊進行文件粉粹，攜程就沒那麼幸運了。鑑於攜程可能被離職員工攜黑客報復，預計還會有下次。

而據說攜程把程序猿當牲畜對待，不善待程序猿員工，離職員工瞭解系統構建，入侵應該更easy。甚至系統已經被植入木馬，等待下次啓動。由於黑客相應用架構不是很是瞭解，通常僅僅能入侵操做系統和數據庫。而不會入侵應用程序。入侵應用程序需要深刻了解應用程序，僅僅有離職員工可能作到，入侵應用程序不會刪除數據庫文件，而是改動和刪除或者添加數據。