二哥同学接的8万充电柜项目,被黑客攻击导致充电柜被暴力打开
二哥的编程知识星球 (点击了解详情)正式上线了,来和 170 多名 小伙伴一起打怪升级吧!这是一个 Java 学习指南 + 编程实战的私密圈子,你可以向二哥提问、帮你制定学习计划、跟着二哥一起做实战项目,冲冲冲。
本项目来自二哥同学背后的私活小团队,开发的一个充电柜外包项目,今天分享的是项目被黑客攻击的遭遇,总结了一些防御的经验,做互联网商业项目真的需要懂点防御方面的知识,不然太痛苦了。
下面是黑客攻击后导致系统瘫痪,外卖小哥没办法只能暴力打开了
充电柜项目背景
看图大家就应该明白了,就是提供给外卖小哥用的,外卖小哥的电动车都需要充电,这个市场还是很大的。
项目构成:微信小程序+PC端+APP端 技术栈:uniapp+ PC后台 Java
其实这个项目,跟以前接的充电宝项目类似,拿过来改造下基本功能都是可以复用的。
被黑客攻击了
充电柜项目已经平稳运行1年了,甲方爸爸当然也赚到钱了,就在上个月突然系统无法正常运行了(黑客持续攻击了一周,并勒索保护费 XXX虚拟币),主要现象是小程序扫码无法打开充电柜了,然后悲剧就发生了,如上图外卖小哥着急送单(超时了会扣很多钱),只能暴力先把充电柜打开了。
经过我们的分析排查,黑客攻击的主要手段
1、利用项目的本身漏洞,恶意修改了代码文件,导致项目无法正常运行。 2、暴力DDOS攻击,直接把CPU打到100%,导致项目直接卡死了。
怎么防御
堡垒机,防止恶意篡改文件,全程监控操作行为等 (7千/年) 防火墙,主要防DDOS等网络攻击 2万/年 负载均衡,提高系统稳定性,最便宜 3千/年 项目重构,开源项目上二开很容易被黑客查出漏洞
堡垒机,各大云厂商都有提供堡垒机的,缺点费钱 我们用的是7K包年
防火墙,花钱就行,我们购买的防火墙 2万包年,缺点很费钱,所以项目不赚钱真的搞不起啊,阿里云腾讯云的专业防火墙大部分都在4万左右(年)
专业级的DDOS防护产品,小项目真的消费不起啊
负载均衡,主要提高系统可靠性与吞吐力,缺点很费钱,便宜的几千贵的要上万
项目重构,前期也是为了快速开发,拿的开源项目二改的,但用开源项目最大的风险就是有漏洞了,很容易被黑客利用,商业项目已经赚钱了,当然可以进行项目升级(自己开发业务代码,别复用开源系统的)
可以试用下 云安全中心 扫描下
总结
防御刚上面都总结了,都是比较费钱,安全相关的投入最少估计都要花费 3万(每年),不赚钱的互联网项目真的扛不住啊。DDOS攻击是最难防御的,用钱加防是最有效果的防御。
也欢迎大家评论留言你知道的网络攻击防御经验。
文末,给二哥的读者朋友们发个“我都心动了的”内推信息。
先来看福利:
带薪年假 全年15薪 股票期权 不限量零食 一年两次调薪 报销入职体检 全额五险一金 试用期薪资不打折 全年12天全薪病假
再来看Base地:
上海 北京 广州 海口 长沙
招聘岗位:
后台开发工程师 运维工程师 图形渲染工程师 图像算法工程师 传输算法工程师 编解码算法工程师 性能优化工程师 高性能网络开发工程师
接着来看简介:
Zuler成立于2021年7月,是一家致力于研发业界领先的网络、虚拟化、安全技术,打造新一代远程桌面、虚拟桌面、云桌面系统的技术公司。
目前正处在高速增长中,感兴趣的小伙伴可以戳「原文链接」了解详情,记得发送简历/和 HR 聊的时候一定要备注「沉默王二内推」,通过几率 99.99%。
没有什么使我停留——除了目的,纵然岸旁有玫瑰、有绿荫、有宁静的港湾,我是不系之舟。
推荐阅读: