这是一个创建于 607 天前的主题,其中的信息可能已经有所发展或是发生改变。
0x01 故事的背景:
20 年的时候,之前一直用安全狗旗下的防护软件,但后来由于偶尔连接不上控制中心或服务失效要手动重启,并且当时要求进行网安备案,在网安备案的页面中看到了个打着公 an 第 xxx 研究所出品的防护产品网防 G01 ,对比了下功能刚好足够平替,并且有公 An 做背书的,打着专为中小企定做的旗号....就直接替换掉了。
0x02 故事经历:
使用至今,唯一缺陷就是资源占用比核心业务占用还要高,但是想想,老罗的那句话,又不是不能用,所以....
0x03 风暴来临前的阳光:
年前突然收到云主机新的告警,IOPS 超出 3500 ,然后 3 分钟左右推送告警恢复,dog sun,这个业务机上的业务几年了都没怎么变更,是什么导致的呢..........
没办法,只能爬上去蹲点查看具体是哪个进程再虐待硬盘,此时就像盖伦一样躲在草丛中打开 IOTOP 查看,但看了半天啥都没有,只能灰溜溜地关闭,心想可能是误报。
次日,又是 12 点左右收到了告警,此时急不及待打开终端查找谜一样的答案,最终从业务日记翻到系统服务日记,无法精准定位问题,但发现可能和之前一个停了的业务有关(对方服务停了,域名下架了,但是我们这边还没下架该服务,导致日志出现一堆 域名解释失败)。当时心里百花齐放,真 tm 开心,以为找对了 G 点,捅一下就能解决问题了,遂马上把相关业务代码下架了,继续在草丛中狗了一天,还没收到任何告警,心里想着终于可以美美地过一个年了,然后就不当一回事。
0x04 风暴来临了:
年 30 喝多了,年初一还窝在被窝中,突然熟悉的陌生人发来了消息....IOPS 突发 3500........我内心一万只草泥马飞快地奔跑着,不过想想,之前不几十秒就恢复了,当监控给我的拜年信息好了,谁知道噩梦终究降临,收到现场业务信息,服务挂了不可用.....马上爬起来开电脑准备进入战场,刚连上 wifi 刷好牙洗好脸后收到了业务撤回信息......恍然发现老人常说的起床第一件事就是刷牙洗脸原来真实大智慧。但反正都开了电脑,就进去看看啥情况,不过这次也和之前一样,什么案发现场都没留下......
0x05 这就完了?
年初三,由于手上任务比较多,还是选择回公司上班,顺带梳理下之前收集的信息,然后一个个服务爬一个个服务找,突然想到,有没有可能内存用完了走了 swap 导致的异常呢....
查看了下,发现内存还有 400MB ,再查看内存占用大户,发现了 gov_defence_agent 占用了 45%以上的内存,再进一步设想,还是不设想了,直接爬进去查查 gov_defence_agent 相关日志吧....
接着发现,通过 tail -f 查看目录下的文件,有一个文件分快的刷屏,其余文件 1 分钟写入几条信息,一看信息全是 域名解释失败或连接失败。
如梦初醒般地我马上打开 G02 官网,发现打不开了,通过百度也只能查看到历史的说明,oh 对了,还有个 gitbook 的页面是能打开的,接着再打开网 an 备案的官网,发现中小企业安防...还在,点进去却是另一个产品..............
按还在的 gitbook 安装验证,telnet 几个服务用到的域名,全都失效。猜测大概率是 G01 下架了,换了另一个服务上。
诶~以后只要打着和 GOV 相关的东西,能不碰还是不碰了,说停就停也不出个提前通知。
给再用 G01 的伙伴们一个提醒吧,如果你的服务器装了 G01 ,并且时不时出现 IOPS 异常飚高或服务间接性无法使用,直接把 G01 停了,你会发现春天来了。
20 年的时候,之前一直用安全狗旗下的防护软件,但后来由于偶尔连接不上控制中心或服务失效要手动重启,并且当时要求进行网安备案,在网安备案的页面中看到了个打着公 an 第 xxx 研究所出品的防护产品网防 G01 ,对比了下功能刚好足够平替,并且有公 An 做背书的,打着专为中小企定做的旗号....就直接替换掉了。
0x02 故事经历:
使用至今,唯一缺陷就是资源占用比核心业务占用还要高,但是想想,老罗的那句话,又不是不能用,所以....
0x03 风暴来临前的阳光:
年前突然收到云主机新的告警,IOPS 超出 3500 ,然后 3 分钟左右推送告警恢复,dog sun,这个业务机上的业务几年了都没怎么变更,是什么导致的呢..........
没办法,只能爬上去蹲点查看具体是哪个进程再虐待硬盘,此时就像盖伦一样躲在草丛中打开 IOTOP 查看,但看了半天啥都没有,只能灰溜溜地关闭,心想可能是误报。
次日,又是 12 点左右收到了告警,此时急不及待打开终端查找谜一样的答案,最终从业务日记翻到系统服务日记,无法精准定位问题,但发现可能和之前一个停了的业务有关(对方服务停了,域名下架了,但是我们这边还没下架该服务,导致日志出现一堆 域名解释失败)。当时心里百花齐放,真 tm 开心,以为找对了 G 点,捅一下就能解决问题了,遂马上把相关业务代码下架了,继续在草丛中狗了一天,还没收到任何告警,心里想着终于可以美美地过一个年了,然后就不当一回事。
0x04 风暴来临了:
年 30 喝多了,年初一还窝在被窝中,突然熟悉的陌生人发来了消息....IOPS 突发 3500........我内心一万只草泥马飞快地奔跑着,不过想想,之前不几十秒就恢复了,当监控给我的拜年信息好了,谁知道噩梦终究降临,收到现场业务信息,服务挂了不可用.....马上爬起来开电脑准备进入战场,刚连上 wifi 刷好牙洗好脸后收到了业务撤回信息......恍然发现老人常说的起床第一件事就是刷牙洗脸原来真实大智慧。但反正都开了电脑,就进去看看啥情况,不过这次也和之前一样,什么案发现场都没留下......
0x05 这就完了?
年初三,由于手上任务比较多,还是选择回公司上班,顺带梳理下之前收集的信息,然后一个个服务爬一个个服务找,突然想到,有没有可能内存用完了走了 swap 导致的异常呢....
查看了下,发现内存还有 400MB ,再查看内存占用大户,发现了 gov_defence_agent 占用了 45%以上的内存,再进一步设想,还是不设想了,直接爬进去查查 gov_defence_agent 相关日志吧....
接着发现,通过 tail -f 查看目录下的文件,有一个文件分快的刷屏,其余文件 1 分钟写入几条信息,一看信息全是 域名解释失败或连接失败。
如梦初醒般地我马上打开 G02 官网,发现打不开了,通过百度也只能查看到历史的说明,oh 对了,还有个 gitbook 的页面是能打开的,接着再打开网 an 备案的官网,发现中小企业安防...还在,点进去却是另一个产品..............
按还在的 gitbook 安装验证,telnet 几个服务用到的域名,全都失效。猜测大概率是 G01 下架了,换了另一个服务上。
诶~以后只要打着和 GOV 相关的东西,能不碰还是不碰了,说停就停也不出个提前通知。
给再用 G01 的伙伴们一个提醒吧,如果你的服务器装了 G01 ,并且时不时出现 IOPS 异常飚高或服务间接性无法使用,直接把 G01 停了,你会发现春天来了。
 | 1 Soo0 2024-02-13 10:29:31 +08:00 via iPhone  4 没想到真有人用 |
 | 2 fatekey 2024-02-13 11:25:28 +08:00 G01 说是 XX 研究所出品,但是我怀疑是 OEM 的奇安信云锁,报价好像还比云锁高? |
 | 6 markgor OP @Soo0 毕竟在中小企业中,除了开源的 waf 外,只有服务器安全狗和网防 G01 实用功能比较多; 至于云锁之类的,之前是我没了解到。 而且 G01 除了资源占用有点夸张外,也算是“免费使用”了 3 年多了,只是真的意想不到 GOV 提供的也是说停就停没任何通知...... |
 | 7 phrack 2024-02-13 19:24:53 +08:00 via iPhone waf 吗?长亭之前出了个免费版的什么 waf 听说口碑还可以 |
 | 8 just1 2024-02-13 20:50:14 +08:00 |
 | 9 neroxps 2024-02-14 12:47:33 +08:00 via iPhone 这种事在我司,基本就是客户上班发现炸了才告诉我们 |
 | 12 xlh001 2024-02-15 10:50:32 +08:00 云锁 oem 版 |
 | 13 mytsing520 PRO 有很多可供选择的产品,收费的也有。 另外个人建议,WAF 这种东西不应该放业务服务器 |
 | 14 fearMAN 2024-02-19 11:12:28 +08:00 这东西用过的懂得都懂,也就政府单位用这个 |
| 15 markgor OP @fearMAN 也是抱着这个心理,有问题也有人垫底。 @mytsing520 明白,但也要考虑实际情况,公司接受肯定独立比较稳妥或最方便直接用云 waf 或 ids 之类,但...... @neroxps 之前云服务挂过(底层服务),所以对于资源极限占用都添加了告警信息,短信和微信推送。 |
Select Language