文章总结: 本文是一个真实案例复盘,讲述了企业因对离职员工权限回收不彻底,导致业务线停摆近三个月的严重安全事件。攻击者利用未被回收的数据库密码、后台API设计缺陷以及光猫L2TPVPN隧道,每天定时执行破坏脚本,绕过所有安全措施。事件最终揭示了企业在人员管理、代码审计和网络设备安全等方面存在的多重漏洞,并强调了完善管理制度和技术规范对网络安全的重要性。 综合评分: 90 文章分类: 应急响应,渗透测试,WEB安全,数据安全,安全运营
【真实案例】企业放权+安全漏洞,造就了一场业务线停摆3个月的悲剧
原创
Flowers aq Flowers aq
flower安全
2026年7月8日 11:06 甘肃
在小说阅读器读本章
去阅读
前言
此文为笔者近期处理的真实案件,文中出现的所有人名、地名、IP、漏洞均已改编不是真实数据(不涉及任何隐私泄露,且已提交申请问询合规发布)但大致事件及排查过程基本一致,作此文的目的也仅是笔者认为案例太过经典同时具备很强的警示作用又因很长一段时间因我个人原因原创文章发布过少,固分享出来同大家学习交流,本文也仅作学习参考使用!
出、
CyberSecurity
正文
一、案件背景:
“我们的商城后台登不上去了,所有商品分类全没了。”2026年6月这家企业报警,因管辖地网安实战经验不足固向上j级单位申请协助侦察、所以我们在报警两天后收到了上级单位指令要求我们实验室协助相关单位完成取证溯源工作。我听了录音对方语气非常焦急——他们的电商平台正在遭受攻击,而且已经持续了很久。我们起初都以为是常规的Web攻击,但常规Web攻击的排查并未发现任何有用信息,我们发现事情远比想象中复杂。
二、线索挖掘:
登录服务器后,我对系统做了全面检查:
SSH密钥 — 仅有1个合法密钥系统进程 — 无异常进程/tmp目录 — 无可疑文件Web目录 — 无webshell系统定时任务 — 只有运维脚本
服务器本身很干净。那攻击是怎么进来的?我又返回去查看笔录和回想企业运维人员的口述,突然想到
"我们改了密码第二天又被改回去了。其他操作也是第二天都会被还原"。
这句话引起了我的警觉。改密码后还能被改回来,说明攻击者一定有绕过登录的途径。我追踪了数据库中的操作日志,发现了规律每天凌晨03:05,必有admin账号在进行大量的操作。这时我就怀疑可能是定时脚本,因为时间太准确,人为的攻击无法将时间控制的这么精准。
随后我又查询了所有后台操作记录,发现了一个事实:
| | | | | — | — | — | | 时间 | IP | 操作 | | 03:05:14 | XX.XX.XX.182 | 修改超级管理员密码 | | 03:05:17 | XX.XX.XX.202 | 删除用户 | | 03:05:26 | XX.XX.XX.136 | 修改系统配置 | | 03:05:37 | XX.XX.XX.182 | 批量禁用700+商品分类 |
近似5分钟,完成一次完整的破坏链。持续了近半年。这同时也意味着在日志显示的近半年来,攻击者用着公司的网络、定时运行着脚本,每天准时把前一天恢复的配置或是其他数据再次打乱导致公司业务线停摆近三个月无法做任何的更新操作,企业没有自己的安全部门运维人员应急响应能力不足导致攻击深化,线上业务线彻底瘫痪。期间企业请了外包公司进行排查但因攻击者定期清除攻击痕迹并未发现有用信息,一拖再拖业务线瘫痪近三个月,最后企业报警。
根据以上线索我们研讨,为什么攻击如此精准?为什么能绕过所有权限?,所以我们猜测公司内部人员发动攻击的概率非常大,再次传唤企业负责人进行询问。
、、、
我们问:“有没有离职的同事或者是在职但经常提跳槽对薪资不满意再或者是远程VPN办公等等的员工?”
对方回复:“没有外包也没有远程办公的人但是年初某技术栈负责人离职了。”
我们问:“离职原因是什么嘞?”
对方回复:“……..涉及隐私省略(大致意思为有一些内部纠纷)”
……
、、、
经过近30分钟的问询我们了解到,因企业资产众多部门众多多方协同很不方便,所以企业索性将所有网络资产包括运维管理系统(包含代码仓库)、服务器的登录密码和凭证下放到了每个技术栈负责人手中,方便各部门随时进行代码更新和功能迭代,这位离职的负责人便是手握大权的人员之一,且离职后公司没有做以下任何回收权限的事情:
没有回收他掌握的所有系统密码没有检查他部署的定时任务没有更换他曾管理的服务器密钥没有审计他经手的代码和配置文件
于是,他手中的密码清单就变成了我们的”武器库”。
三、深入挖掘:
对网络层的排查中,我检查了公司的光猫(政企网关)配置文件,发现了三个异常:
- 异常1:自定义管理员账号
光猫配置中有一个名为 xxxmaner(化名) 的管理员账号。 这不是电信默认的管理员,只有知道公司名字的人才会创建这个账号。
- 异常2:第三方ACS服务器
官方ACS服务器是运营商的TRxxx管理平台,但在配置中发现了一个指向 境外第三方 的ACS服务器地址:
o1.xxx.com:8000
这个非官方的ACS服务器的作用是可以远程下发配置、修改光猫设置、甚至推送恶意固件。
- 异常3:L2TP VPN隧道
配置中还有一个L2TP VPN的配置,指向一台内网设备:
服务器: 192.168.xx.xxx账号: xxxx密码: xxxx
这是一条从外网直通内网的加密通道。攻击者不需要端口映射,不需要DMZ,通过这条VPN隧道就能像在内网一样访问所有服务器。这也是为什么防火墙上看不到任何异常,因为流量走的是一条合法的VPN隧道。
四、根本原因分析:
排查思路又回到开头的笔录,为什么改了密码也没用?我找到了四个叠加的漏洞,造成了”改了密码也被改回来”的困局:
- 漏洞1:数据库密码泄露
前员工离职前就知道数据库的密码。他可以直接连接数据库执行:
注:这不是在他的电脑上,而是通过他部署的定时脚本自动执行UPDATE admin_xxxx SET password=MD5('他想设置的密码') WHERE account='xxxx';
他不需要知道后续修改过的admin密码,因为他在数据库层面直接把密码改了。
- 漏洞2:Edxx API不校验旧密码
商城后台的用户编辑API,接收新密码参数后直接更新到数据库,完全不验证旧密码是否正确。只要有后台权限的人,可以改任何人的密码。
- 漏洞3:修改密码不失效旧Token
修改密码后,已经签发的JWT Token依然有效。攻击者持有的旧Token可以继续使用。
- 漏洞4:光猫/L2TP给了一切
通过L2TP VPN隧道,攻击者从家里就能直连公司内网。即使防火墙再严密,也拦不住从内部发起的连接。
五、基础时间线还原:
以下是还原的一个典型的”攻击日”时间线:
| | | | | — | — | — | | 时间 | 动作 | 说明 | | 03:05 | L2TP VPN建立 | 从外网通过VPN隧道接入内网 | | 03:06 | 直连MySQL | 用泄露的数据库密码连接数据库 | | 03:06:17 | 修改admin密码 | UPDATE操作,绕过所有后台认证 | | 03:06:40 | 登录后台 | 用新密码登录商城管理后台 | | 03:07:12 | 修改配置 | 禁用商品分类、修改商店设置 | | 03:07:43 | 编辑用户 | 删除用户、修改用户资料 | | 03:09:45 | OSS上传 | 上传文件到对象存储 | | 03:10~03:18 | 清理痕迹 | 缓存清理、日志清除 |
近似5分钟,一套完整的攻击链就完成了。每天如此,重复了近半年年。
六、应急响应的教训:
如果当初早做这些事其实完全不会有业务线停摆三个月:
- 离职当天必须回收全部权限
账号、密码、数据库、服务器、光猫——所有他能接触到的,全部更换。
- 检查他经手的代码和脚本
离职前部署的定时任务、他编写的自动化脚本,必须全部审计。
- 网络设备也需要审计
光猫、路由器、VPN这些隐形的IT资产往往被忽视,但它们恰恰是网络安全的第一道防线。
- 数据库直连权限要最小化
webprod账号可以从任何IP连接数据库,这个权限范围太宽了。应该限制为只允许从应用服务器连接。
- API设计要安全
修改密码、编辑用户这类敏感操作,必须校验旧密码、必须审计日志、必须失效旧Token。
我这边罗列了一些事后补救的优先级:
P0: • 更换所有密码(数据库、SSH、云平台) • 重置光猫/路由器 • 阻断攻击者IPP1: • 吊销泄露的云API密钥 • 修复Exxxx API漏洞 • 限制管理后台IP白名单P2: • 全面代码审计 • 建立安全开发流程 • 员工离职安全交接规范
目前案件还在进一步侦办中!
七、写在最后:
这场攻击没有使用任何高级的黑客技术没有0day、没有APT、没有勒索病毒。
它只用了四样东西:
-
一个没回收的离职员工账号
-
一个泄露的数据库密码
-
一个不校验旧密码的API
-
一台配置了L2TP的光猫
一个技术人员能接触到的资源比我们想象中多得多。企业给了部分技术栈负责人全部权限,却在他离职时回收得干干净净了吗?这次事件中的企业,花了三个月才意识到攻击仍然在持续。不是因为攻击多么隐蔽,而是因为没人想过自己人会成为攻击者。
安全不是防火墙和杀毒软件能解决的问题。
安全是一整套管理制度、技术规范、离职流程的组合。
缺少任何一环,结果可能就是业务线彻底停摆瘫痪。
八、对事件的感悟和结语:
写下这篇复盘时,我的心情很复杂。我此前总在文章中感概,技术是上天给予穷孩子最好的礼物,因为技术我自己的生活也发生了翻天覆地的变化,但也有人把技术变为了刺进自己心脏最锋利的剑刃。
这位技术栈负责人,曾是公司的核心骨干也拥有超15年的开发经验。他搭建了整个技术架构,设计了一套还算完整的系统逻辑,带着团队日夜赶工把业务支撑了起来。在那之前,他确实是公司最信任的人。
然而,信任不等于无限放权,能力不等于可以凌驾于规则之上。
因矛盾离职后,他没有选择法律途径维权,而是利用自己掌握的全部权限数据库密码、服务器root权限、光猫管理员账号、内网VPN隧道对公司系统进行了长达近半年的持续性破坏。每天凌晨脚本准时运行,修改配置……看似是技术行为,实则是在触碰法律红线。最终,等待他的只有公安机关介入,证据链完整,刑事审判。一个能写代码、能做架构的工程师,本应拥有光明的职业前途。却因一念之差,从技术领头人沦为犯罪嫌疑人。
他触犯的法律包括但不限于:
| | | | | — | — | — | | 法律 | 条款 | 说明 | | 《中华人民共和国刑法》 | 第286条 破坏计算机信息系统罪 | 对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。本案中持续近一年的破坏行为,已属于”后果特别严重” | | 《中华人民共和国刑法》 | 第285条 非法获取计算机信息系统数据罪 | 侵入计算机信息系统获取该系统中存储、处理或者传输的数据,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金 | | 《中华人民共和国民法典》 | 第1034条 侵犯隐私权 | 第1034条 侵犯隐私权非法获取、使用他人个人信息,应当承担侵权责任 | | 第1034条 侵犯《中华人民共和国网络安全法》 | 第27条 | 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动 |
根据《刑法》第286条,破坏计算机信息系统罪:
后果严重的,处五年以下有期徒刑或者拘役;
后果特别严重的,处五年以上有期徒刑。
本案中,攻击持续近一年,每日定时执行,导致业务系统反复瘫痪……已完全符合”后果特别严重”的认定标准。一名技术人员的悲剧不在于他不懂技术,而在于他以为技术可以凌驾于法律之上。
密码可以改回来,代码可以重写,但人生的污点,一旦留下,就再也没办法撤回。
:
CyberSecurity
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:flower安全 Flowers aq Flowers aq《【真实案例】企业放权+安全漏洞,造就了一场业务线停摆3个月的悲剧》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论