携程事件简单故障分析

互联网安全越来越严峻


自从windowsxp停止更新维护后，世界范围内的安全事件就层出不穷，几乎一发不可收拾。
windows漏洞很多，入侵windows服务器基本上不是问题，所以安全事件不可避免。
linux最近爆出很多漏洞，还有很多漏洞未爆出。
感觉unix比较安全，比如sinox操作系统。但是只是操作系统层面安全还不够，应用程序安全跟操作系统无关。
应用程序的漏洞，随着应用程序复杂度增加，漏洞可能也增加，而代码安全审核就很重要。


携程故障分析


1.线上数据全部被删，再次发布依旧被删


线上数据全部被删，可以删除数据库物理文件，sql删除数据库，恶意程序和脚本，sql都可以执行功能


再次发布依旧被删，这里假设数据库系统已经损坏，无法发布，而如果发布成功了再次删除，可能是恶意程序监测到执行删除，或者数据库sql触发机关删除。也可能是前面线上数据全部被删功能再次执行，可能是定时器执行，或者监测数据库或系统有数据增加再执行。


如果这是一个精心编写的恶意程序或者sql脚本，可以通过远程启动或者注入sql数据库执行，当然也可以远程关闭，并销毁自己，这样肇事者可能及时逃脱于无影无踪，最后变成内部操作错误。


2.数据员发现自己的云运营妹子和高层有染，然后怒删数据


监守自盗，数据库管理员拥有超级管理员权限，要删除数据，那就没办法了。备份机器数据也可以删除，谁让他是超级管理员？不过刻录光盘和磁带机应该删不掉。而且删掉数据是不是也有硬盘数据恢复软件恢复数据呢？如果粉碎了文件，那就没办法了。监守自盗不属于技术问题，是管理问题。


3.携程全线酒店数据库物理删除


且不说是谁删，怎么删，数据库文件被删除一般也可以用数据恢复软件恢复，因为文件粉粹要花很长时间，应该来不及做，所以还是有机会恢复的。恢复本机，或者恢复备份机。只是可能花几个小时以上。
黑客删除了物理文件，感觉应该是操作系统级安全问题，否则入侵应用不至于出现数据库文件物理删除。可能入侵服务器植入脚本或者木马。


4.网站服务及App全面瘫痪，内部功能均无法正常使用


数据库被删除了，自然就瘫痪了。没有数据，网站能开也没有用，app也是使用数据库的，内部功能也是要用数据库数据。所以数据就是网站的生命。


5.随后携程网回应，经过紧急排查，携程数据没有丢失，预订数据也保存完整。在恢复过程中，对用户造成的不便，携程深表歉意


总结，黑客或者内鬼删除了数据，携程只能花很长时间恢复数据。文件没有被粉粹，能恢复。下次攻击进行文件粉粹，携程就没那么幸运了。鉴于携程可能被离职员工携黑客报复，估计还会有下次。而听说携程把程序员当牲畜对待，不善待程序员员工，离职员工了解系统构建，入侵应该更容易，甚至系统已经被植入木马，等待下次启动。由于黑客对应用架构不是很了解，一般只能入侵操作系统和数据库，而不会入侵应用程序。入侵应用程序需要深入了解应用程序，只有离职员工可能做到，入侵应用程序不会删除数据库文件，而是修改和删除或者增加数据。