最近,主机帮的一个网站收到了网安的网络与信息安全风险告知书,里面明确了我们公司官网域名解析下的一个IP存在服务端口:3306 疑存在高危端口,存在安全隐患。
这个问题本来没什么,因为3306端口本身是一个数据库端口,如果服务器开启了数据库远程连接的话,就肯定需要开启的,当然也有一些数据库是修改端口的,这样安全些。
但网安扫到这个端口后就认为这个是高危端口,得处理。
主机帮在了解情况后,发现是西数码的代理平台采用的虚拟主机原因,因为西部数码的虚拟主机的IP 3306端口是开放的。于是主机帮联系了西部数码处理,结果得到是虚拟主机是没法关掉端口的,但是部署SSL后,会更新IP,而这个新的IP就会关掉3306端口。
为此,主机帮还特地给代理平台申请了SSL证书,终于解决了。这里也给大家提个醒,服务器一定要对外关掉3306端口,指不定哪天被扫到3306端口,就会收到通知书,收到通知书其实没什么,问题是打电话过来的是网安,警察,多少有点心惊肉跳的。
这里还是吐嘈下,到底是哪个公司给网安开发的傻鸟系统啊,IP问题不找数据中心,反而找到绑定这个IP的用户,实在太恶心了,以虚拟主机为例,一个IP下起码上百个域名绑定这个IP,那大家都有问题?还有这个IP的归属权也不在绑定的域名上哈,现在倒好了,网安直接判定这个IP属于你公司的,就离谱。
而且3306端口开放并不算什么高风险,本身mysql数据库就有验证机制。
总之,国内做网站的一言难尽!
