二哥同学接的8万充电柜项目,被黑客攻击导致充电柜被暴力打开

共 1494字,需浏览 3分钟

 ·

2022-05-23 22:27

二哥的编程知识星球 (点击了解详情)正式上线了,来和 170 多名 小伙伴一起打怪升级吧!这是一个 Java 学习指南 + 编程实战的私密圈子,你可以向二哥提问、帮你制定学习计划、跟着二哥一起做实战项目,冲冲冲。

本项目来自二哥同学背后的私活小团队,开发的一个充电柜外包项目,今天分享的是项目被黑客攻击的遭遇,总结了一些防御的经验,做互联网商业项目真的需要懂点防御方面的知识,不然太痛苦了。

下面是黑客攻击后导致系统瘫痪,外卖小哥没办法只能暴力打开了

充电柜项目背景

看图大家就应该明白了,就是提供给外卖小哥用的,外卖小哥的电动车都需要充电,这个市场还是很大的。

  • 项目构成:微信小程序+PC端+APP端
  • 技术栈:uniapp+ PC后台 Java

其实这个项目,跟以前接的充电宝项目类似,拿过来改造下基本功能都是可以复用的。

被黑客攻击了

充电柜项目已经平稳运行1年了,甲方爸爸当然也赚到钱了,就在上个月突然系统无法正常运行了(黑客持续攻击了一周,并勒索保护费 XXX虚拟币),主要现象是小程序扫码无法打开充电柜了,然后悲剧就发生了,如上图外卖小哥着急送单(超时了会扣很多钱),只能暴力先把充电柜打开了。

经过我们的分析排查,黑客攻击的主要手段

  • 1、利用项目的本身漏洞,恶意修改了代码文件,导致项目无法正常运行。
  • 2、暴力DDOS攻击,直接把CPU打到100%,导致项目直接卡死了。

怎么防御

  • 堡垒机,防止恶意篡改文件,全程监控操作行为等 (7千/年)
  • 防火墙,主要防DDOS等网络攻击  2万/年
  • 负载均衡,提高系统稳定性,最便宜  3千/年
  • 项目重构,开源项目上二开很容易被黑客查出漏洞

堡垒机,各大云厂商都有提供堡垒机的,缺点费钱  我们用的是7K包年

防火墙,花钱就行,我们购买的防火墙 2万包年,缺点很费钱,所以项目不赚钱真的搞不起啊,阿里云腾讯云的专业防火墙大部分都在4万左右(年)

专业级的DDOS防护产品,小项目真的消费不起啊

负载均衡,主要提高系统可靠性与吞吐力,缺点很费钱,便宜的几千贵的要上万

项目重构,前期也是为了快速开发,拿的开源项目二改的,但用开源项目最大的风险就是有漏洞了,很容易被黑客利用,商业项目已经赚钱了,当然可以进行项目升级(自己开发业务代码,别复用开源系统的)

可以试用下 云安全中心 扫描下

总结

防御刚上面都总结了,都是比较费钱,安全相关的投入最少估计都要花费 3万(每年),不赚钱的互联网项目真的扛不住啊。DDOS攻击是最难防御的,用钱加防是最有效果的防御。

也欢迎大家评论留言你知道的网络攻击防御经验。


文末,给二哥的读者朋友们发个“我都心动了的”内推信息。

先来看福利:

  • 带薪年假
  • 全年15薪
  • 股票期权
  • 不限量零食
  • 一年两次调薪
  • 报销入职体检
  • 全额五险一金
  • 试用期薪资不打折
  • 全年12天全薪病假

再来看Base地:

  • 上海
  • 北京
  • 广州
  • 海口
  • 长沙

招聘岗位:

  • 后台开发工程师
  • 运维工程师
  • 图形渲染工程师
  • 图像算法工程师
  • 传输算法工程师
  • 编解码算法工程师
  • 性能优化工程师
  • 高性能网络开发工程师

接着来看简介:

Zuler成立于2021年7月,是一家致力于研发业界领先的网络、虚拟化、安全技术,打造新一代远程桌面、虚拟桌面、云桌面系统的技术公司。

目前正处在高速增长中,感兴趣的小伙伴可以戳「原文链接」了解详情,记得发送简历/和 HR 聊的时候一定要备注「沉默王二内推」,通过几率 99.99%

没有什么使我停留——除了目的,纵然岸旁有玫瑰、有绿荫、有宁静的港湾,我是不系之舟

推荐阅读

浏览 3
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报