[吐苦水]为何 PHP 不被待见，怎么一入侵就被运维泼脏水

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 835 天前的主题，其中的信息可能已经有所发展或是发生改变。

运维组怀疑 PHP 被注入脚本，被黑客在数据库服务器嵌入了后门程序，疑似在 Mysql 上执行 Curl 命令，并且说是 PHP 暴漏了数据库服务器账号密码。

后经排查是定时任务导致。

遇到入侵，先甩一口黑锅。大家遇到这种一般怎么处理？是急眼开启对喷模式，还是不管任由其说。

日常聊天黑 PHP ，怎么怎么不行，怎么怎么不如 java 。这么说的运维不写代码，我司写 java 的也只会 java ，日常排挤 PHP 。个人感觉就是岁数大，倚老卖老，不肯接受新事物。

语言只是工具，程序漏洞在于程序员经验，经验不足用什么语言也都是漏洞。

论坛也都是黑 PHP 的，看多了也不想理，为了黑而黑都是。

向各位吐吐苦水，目前我前端 PHP 都写，在这好几年了，没有学历，也动不了。。

PHP

Java

苦水

运维

75 条回复 • 2022-08-13 13:06:24 +08:00

learningman

2022-08-09 09:35:50 +08:00

php 和 java 比起来，java 才是新事物吧。。。

fredli

2022-08-09 09:39:57 +08:00

出了问题当然互相甩锅，有理有据怼回去

janus77

2022-08-09 09:43:44 +08:00

撕逼也是职场必备技能，别以为做了程序员就可以安心坐桌子上啥也不管

wooyuntest

2022-08-09 09:44:25 +08:00

建议先应急完了再来复盘这些。
既然定位到是计划任务导致的影响，计划任务不会凭空产生，是否排查清楚了是哪个服务有漏洞导致系统被添加了计划任务？

fiypig

2022-08-09 09:44:48 +08:00

身为运维 ,服务器被入侵不是首要责任吗
没实际敲 PHP 跟 Java 有啥好喷两个语言的,反正喷语言你就别理他们,别参与这个话题,如果甩锅, 你就回击回去就对了

whosphp

2022-08-09 09:47:20 +08:00

运维主要责任说这些话是为了甩锅语言只是工具

tianyou666shen

2022-08-09 09:47:26 +08:00

不直接攻击你就不说
攻击你你就反向攻击他
上次 xx 还不是因为你们搞出来的漏洞 /延期 /bug 多你的 xx 问题也很多 1.2.3.4 有理有据的反驳下次看他还来不来自讨没趣

hoopan

2022-08-09 09:48:01 +08:00

道理你都懂，干嘛不跟他掰扯，不要把精力都放到敲代码上

Lax

2022-08-09 09:55:39 +08:00

定时任务怎么来的？

QlanQ

2022-08-09 10:03:32 +08:00

语言、软件也靠营销，比如 mysql 和 pg ，说 PHP 不如 Java 的，都是阿里出来，只会 Java 然后就让那些刚有点钱的老板换 Java ，有多少公司到了语言瓶颈需要换 Java 的，真到了语言的瓶颈，Java 也解决不了呀，还是营销，大家都这样说，别人也就信了

NjcyNzMzNDQ3

2022-08-09 10:05:31 +08:00

补充下：定时任务是大概 3 年前写的了，内容是定时 curl 自己的业务。不是注入脚本。。

zapper

2022-08-09 10:06:10 +08:00

日常聊天爱咋黑咋黑，你自己比他们黑起来都狠就完事了
工作上这种先甩一口黑锅的，查清楚原因了发总结邮件抄送领导呗，多搞几次他们就虚了

sampeng

2022-08-09 10:07:54 +08:00

有一说一，被入侵不是运维的锅，是公司的锅。术业有专攻，公司不安排安全部门。。。要求所有运维都有极高的安全风险控制能力是大概率不可能的。现在 devops 这么活，都是搭个 ci/cd 就说自己是 devops 了。10 个运维里面有 1 个懂代码？不懂代码必然不懂安全控制。

再进一步，如果定时任务是研发写的，研发有责任控制定时任务的安全。如果是运维写的，运维的锅。

再再进一步，代码都背注入了。。只能是从 web 进来的，这锅运维部背

duanxianze

2022-08-09 10:13:28 +08:00

这种时候就是为了甩锅啊，别管你用啥语言都一样

zw1027

2022-08-09 10:13:38 +08:00

这是人的问题，谁主张谁举证，有证据拿出来，否则闭嘴

libook

2022-08-09 10:18:14 +08:00

运维、开发、安全应是三个独立职责，即便没有三个岗位，也得划分清楚每个指责由谁来承担，否则就会扯皮。

安全岗位很重要，很多基础设施因为设计、配置、使用方式等原因极容易产生漏洞被攻击者利用，所以需要安全人员对系统进行评估并提供安全方案。

处理这种即时甩锅的情况，每个人有自己的风格，可以先让其做实甩锅的行为，然后调查好实际情况，等问题解决后再向领导以正式邮件等形式罗列证据控诉失职情况。

凡是涉及到由 URL 动态加载程序文件机制的，很长时间以来都是安全问题的重灾区，比如 PHP 、JSP 、ASP 、ASPX ，但经验带来的怀疑只能当作进一步求证的依据，不能作为结论。通过尽职的安全工作，很多风险都是可以降到很低的。

NjcyNzMzNDQ3

2022-08-09 10:18:44 +08:00

谢谢各位，啥生产事故都没发生。就是对抬一贬一下的话术发泄下不满。

huangwei8ku

2022-08-09 10:19:13 +08:00

说白了，还是你自己水平不够，我们组写 golang 的也是一样被老运维和老 Java 怼，上次经理默许了我的行为，我分分钟去外网的 0day 漏洞找了个 goalng 的 payload 直接攻进了运维的服务器，拷贝了数据库资料，停止了 java 服务的容器，换上了我们自己好的 golang 服务，提供了 2 周的稳定服务，运维到月底才发现。半年度会上被我们嘲讽到死。垃圾运维

darkengine

2022-08-09 10:21:23 +08:00

你们运维这么水，自家的定时 curl 任务被误判成攻击？

huangwei8ku

2022-08-09 10:21:46 +08:00

真厉害的运维我见过一位，人家研究的东西就是入侵主动报警，那个才叫墙，人家是的的确确写代码出生的。C++； python;golang 都写过，神人，目前居住加拿大

BUHeF254Lpd1MH06

2022-08-09 10:22:51 +08:00

@huangwei8ku 这算是技术圈爽文吗。。。真这么搞会被追责的吧。。

yogogo

2022-08-09 10:23:46 +08:00

没事我同事日常黑 PHP 我也是加入黑 PHP ，我写 PHP 和 Java 的

Twnysta

2022-08-09 10:24:26 +08:00

现在 php 都 8.x 版本了，最后一个 7.4 也要年底停止支持了。黑的人估计还在用几年前就停止支持的 5.6 版本吧

fkdtz

2022-08-09 10:26:05 +08:00

@huangwei8ku 公然挑起内部矛盾了属于是

ericgui

2022-08-09 10:26:43 +08:00

@huangwei8ku 这事还是少干。你成了，你就可以嘲讽，搞出生产事故，你就进去了

lujiaosama

2022-08-09 10:26:59 +08:00

@huangwei8ku 这是生产环境的项目吗, 玩这么大. 一般公司这套下来说不定得跑路的是操作者...

Constantine1

2022-08-09 10:27:37 +08:00

单纯甩锅给你。管你用啥语言。

statumer

2022-08-09 10:30:57 +08:00 via iPhone

@huangwei8ku
高情商: 经理默许
低情商: 经理让你背锅
接近犯罪行为

documentzhangx66

2022-08-09 10:31:09 +08:00

别人有这种想法，其实是聪明的体现，这在算法里对应着贪心法，或剪枝。虽然不一定是 100%正确，但方向上大概率没问题，这种定式思考模式，能节约大量时间。

就比如，现在有两套数据库，一套 Oracle ，另一套 MySQL 。某天数据出了问题，你觉得会先排查哪个数据库？

不要怪你的同事，如果不希望别人这样对你，你应该选择比他们门槛更高的工具链。

huangwei8ku

2022-08-09 10:32:03 +08:00

@lujiaosama
@ericgui
@fkdtz
@v135ex
这肯定存在管理层以上的博弈了嘛，经理默许了，那肯定是有预估过风险的，再说了，自家产品的预发布环境，也不用太担心。最主要的是，我们部门也需要一个机会证明自身实力，不过说实话是过了点，但是也是被逼的呀，Java 在公司根基扎的太深，需要一个信号来变革。我们经理原话是这么说的。

picone

2022-08-09 10:32:21 +08:00

菜非要给自己找理由，百度还大规模使用 PHP 呢，咋不见百度被大规模入侵

huangwei8ku

2022-08-09 10:33:53 +08:00

而且也的确是没有任何放入侵的手段，Java 和运维都是吃老本

huangwei8ku

2022-08-09 10:34:49 +08:00

@statumer 我也没那么傻，最后操作都是让经理去干，我指的是给他找了个 palyload

huangwei8ku

2022-08-09 10:38:39 +08:00

当然是我们公司自己机房的环境，不是阿里云这种产品，那是在犯罪，各位别过分解读

soulmine

2022-08-09 10:40:59 +08:00

肯定要甩啊这和语言无关

yeyang5211

2022-08-09 10:41:55 +08:00

@huangwei8ku 你这很离谱 , 公司完全可以报警抓你

yedanten

2022-08-09 10:42:45 +08:00 via Android

养活了半个安全圈的语言，第一时间被当怀疑目标不奇怪，但是公然说出来，先甩锅，就单纯是这运维菜，不会做人

huangwei8ku

2022-08-09 10:48:11 +08:00

@yeyang5211 经理是我党哥，老板是我大伯。哈哈哈哈，故事到此结束。各位看的爽吗？

Felldeadbird

2022-08-09 10:50:45 +08:00

甩锅是正常的。如果对方甩锅过来，先不着急反击，找出问题所在点。有确切证据不是自己问题，直接邮件抄送，内部群通知，本次安全事故是由 XXX 引起的。

icyalala

2022-08-09 10:56:58 +08:00

"日常排挤 PHP 。个人感觉就是岁数大，倚老卖老，不肯接受新事物。"
我感觉这写反了吧？

bthulu

2022-08-09 10:57:07 +08:00

@huangwei8ku go 好用不, 开发速度咋样, 比 php 快多少? 性能我知道 php 不行, 不过我这边不在乎性能, 只要开发速度快就行.

wangritian

2022-08-09 11:01:10 +08:00

把甩锅现场和最终排查结果的聊天记录截图，做成表情包，下次再黑，直接甩他们脸上
当然，你要先偷偷排查一下，确定真的不是自己的锅

huangwei8ku

2022-08-09 11:03:49 +08:00

@bthulu 还行吧，golang 本身有命令行的生成器命令，我同事用的很开心，就是要自己定制，写法上我们基本上就是面相过程开发了，MapReduceFilter 那套，类库丰富，我觉得 go 你要写好，从一开始就要结合它的特性来写，比如单元测试，和编程模式的结合，比如我们所有的方法都拆的很小，差不多一个方法就控制在 20 到 50 行之间，然后用管道模式拼接，我们 test.go 文件很多。所以，基本上速度还行。

huangwei8ku

2022-08-09 11:06:02 +08:00

@bthulu 这也是国外许多博主常用的方式了，当然，golang 作者罗伯特本人感觉是业务写的不多，所以他的很多演示代码全是用 for 循环来带便利方法队列

ws52001

2022-08-09 11:10:23 +08:00

哪行哪业都有鄙视链，有啥好纠结的。。做好自己就行，听不下去，就直接怼。。来网上讨说法基本就是引战，也许平复不了你的怒气，反而把论坛里的气氛给点燃了。。

tuimaochang

2022-08-09 11:40:56 +08:00

@huangwei8ku 牛逼

Actrace

2022-08-09 11:44:35 +08:00

挺好的，以后把活儿都丢给他们做。
毕竟他们安全性更好。

dream10201

2022-08-09 11:48:34 +08:00

不管怎么说，PHP 天下第一

sdwgyzyxy

2022-08-09 11:51:20 +08:00

如果把锅甩给 PHP ，那是不是可以反问一句，你怎么确定是 PHP 服务引起的？如果他说不出来，那就可以怼一句了，没能力别乱甩，找出是 PHP 的责任我认，找不出来的话你平白无故给我的锅能自己接回去么？

wedd

2022-08-09 12:18:05 +08:00

发现问题立马甩锅是人性本能，只能凭本事做好了

phithon

2022-08-09 12:22:45 +08:00

让大家都换 Java 啊，我们黑客贼喜欢

gam2046

2022-08-09 12:27:49 +08:00

踩一捧一，老春秋笔法了，广泛出现在测评界、甩锅界等各种有人类活动的地方。

心态好就不理他，反正工资照发，也不影响个啥。
气不过就骂回去，反正工资照发，也不影响个啥。

dengshen

2022-08-09 13:52:00 +08:00

@huangwei8ku 真的 go 牛逼, 发现了又被运维叼一顿? 然后换上 java 服务? 哈哈哈 /🐶️

seenthewind

2022-08-09 14:13:26 +08:00

。。。Java log4j 的余波还没过去呢。。他们怎么好意思腆着脸黑 PHP 。。

实事求是的说，我这边接触到的漏洞情况，java 派系要不少的，PHP 倒是真没见到几个，前提是要遵守开发规范，严格做好安全防范措施，比如被注入这种跟语言是没关系的。

信息安全 3 分靠技术，7 分靠管理，抓着语言黑来甩锅的，其实就是底气不足，换成我年轻的时候，不把他们喷哭不回家的。

HFX3389

2022-08-09 14:15:45 +08:00

@libook #16
运维、开发、安全
前面两项已经有一个叫“DevOps”的职位了，至于安全嘛，现在也有一个新职位正在悄然升起，叫“DevSecOps”！
未来的人需要全会才能找到工作😱

zw1one

2022-08-09 14:30:32 +08:00

直接撕他运维连安全都做不好，程序有安全漏洞不会用脚本自己测出来？这都要开发管你怎么不把工资给开发，要你干什么吃的

ltruntu

2022-08-09 15:35:19 +08:00

大部分的入侵探测都是针对 php 的，部署了 php ，真的会很容易被扫到，然而 java 会很少

jsjjdzg

2022-08-09 15:43:46 +08:00

最近把公司的 PHP 项目重构成 Java 的真的人都麻了。。PHP 太爽了，太随意了。。。

onice

2022-08-09 15:45:51 +08:00

安全应该交给安全部门来做，术有专攻。看样子，你们也没有安全编码规范，发版本前也没有代码审计，这事怪不到开发头上。

并且，入侵的攻击链都没排查出来，没有证据，就更无理取闹了。

yuhaotjutwt

2022-08-09 16:31:45 +08:00

每年一次啊,php 又双叒叕药丸了,欢迎看看我做的 php 框架:lovephp

HaydenDeep

2022-08-09 16:39:13 +08:00

目前做安全防护相关，也从事过硬件系统和软件+网络条线部署服务器，有需要可以帮助

vopsoft

2022-08-09 16:45:57 +08:00

php 一句话木马

Marszm

2022-08-09 17:18:26 +08:00

php ，做安全的都拿来教学练手，学习怎么攻击服务器。。。倒不是说 php 不安全，但是安全圈最喜欢就拿 php 入门了，java 的漏洞都属于高级漏洞了。你搜下就知道，关于 PHP 的各种入侵教程，比赛题目。。。

error451

2022-08-09 17:37:27 +08:00

这个和 PHP 本身无关。

PHP 网上可下载的垃圾代码是最多的这是毫无疑问的。

一群小白从网上搜把搜把，也不知道在哪儿下载个源码就跑去做网站，导致漏洞一大堆。

网上小白黑客也是最喜欢 PHP ，各种漏洞，各种一句话入侵代码，实现起来超容易。

如果经常做运维的，每天动不动就处理 PHP 漏洞，PHP 木马，尤其是机房，云服务器做运维的，估计每天满脑子都是 PHP 。
长期这样下来，对 PHP 没有偏见很难。