jQuery.com 2014 年 9 月安全回顾

---

在 9 月份的最后两周，我们因一系列针对我们网络服务器的攻击而登上新闻头条。今天，我们想向大家简要更新一下我们网站的状况，并回顾一下过去两周发生的事情。

jQuery 遭到攻击

9 月 18 日凌晨，我们遭到 DDoS 攻击，网站离线。我们停机了几个小时。网站在 9 月 18 日晚些时候恢复，一切似乎正常。

后来，在 9 月 18 日下午，一家名为 RiskIQ 的安全公司联系我们，报告其爬虫发现我们的内容网站正在提供恶意软件。从未有报道称 jQuery 库或 CDN 受到损害。在收到该报告后，我们立即销毁并重新映像了所有这些机器，撤销并重新颁发了所有关联的 SSL 证书，并确认此时没有提供可疑内容。从那时起，我们自己的团队以及来自 Mozilla 和 MaxCDN 的安全人员一直在努力分析日志并尝试确认此次攻击的影响。

9 月 23 日，RiskIQ 公开发布了其报告，该报告在当天各种媒体和 Twitter 上迅速传播。第二天早上，9 月 24 日，随着针对我们属性的 DDoS 攻击在频率和强度上不断增加，CVE-2014-6271，也称为 ShellShock 漏洞，被发布。在我们继续回应媒体讨论并将 9 月 18 日发生的事件告知社区时，我们再次成为一系列更公开的攻击的受害者，这些攻击涉及多次恶意篡改 jquery.com 网站。

我们对系统的调查尚未找到最初的攻击媒介。但是，我们确实采取了一些措施来提高安全性。例如，我们的一些 WordPress 安装版本过旧，我们所有的服务器都容易受到最近的 shell 漏洞的攻击，NGINX 版本略过旧，可能还需要其他一些补丁等。基础设施团队立即投入工作，开始进行这些更改，并开始构建新的、完全修补和安全的服务器来托管我们的网站。这些更改似乎很有效，因为篡改行为停止了，我们也没有发现任何入侵迹象。

9 月 24 日晚些时候，一场大规模且持续不断的 DDoS 攻击开始了。它似乎会一波接一波地出现，但直到 9 月 28 日晚才停止。9 月 26 日和 27 日的大部分时间都花在了尝试实施各种产品和解决方案，以使服务器保持运行状态。我们日夜奋斗，试图使网站保持在线状态。我们必须赞扬 Corey Frang、Adam Ulvi、基础设施团队的其他成员以及其他人；他们通宵工作，轮流值班，试图让我们保持在线状态。如果没有他们的努力，我们就不可能实现短暂的正常运行时间。我们采取的一个非常重要的步骤是联系 CloudFlare，他们慷慨快速地让我们访问其企业服务，这在缓解这些攻击方面帮助巨大。

展望未来

jQuery 和 jQuery 基金会对 Web 生态系统非常重要，这一点从新闻报道以及众多关心此事并联系我们询问有关此次攻击的个人和组织的数目可以看出。jQuery 基金会每天都在努力维护和改进我们的项目以及围绕这些项目的基础设施。这项工作的目标是继续简化 Web 开发人员的工作，并确保他们在标准和浏览器领域拥有发言权。但是，这些目标需要大量的资源。无论是通过企业员工的专业知识或服务，还是通过经济支持来提供这些资源，如果没有开源社区和支持我们的成员的支持，我们将无法继续这项重要的工作。

在整个事件中，我们多次被问及为什么我们没有部署 XYZ 服务，或者为什么我们的安全团队没有密切关注这些类型的风险。简而言之，我们的预算很紧张，资源有限。我们的基础设施团队，以及我们的大多数团队，都是由志愿者组成的，他们自愿无偿地奉献时间以确保一切正常运行。 Heartbleed 和 ShellShock 漏洞是最近的例子，说明了当开源项目被视为理所当然，并被认为一切正常时，事情会多么糟糕。最终，一些问题会被人遗漏，当人们在业余时间尽其所能时，这些问题会变得更大、更频繁。

那么，您如何提供帮助呢？作为个人，参与我们的一个项目。我们始终需要帮助编写代码、设计、维护服务器、举办活动等等。请查看 contribute.jquery.org 或在我们位于 irc.jquery.org 的众多频道中加入 IRC 聊天。作为组织，我们很乐意了解您是否愿意捐赠任何服务，是否可以抽出一些时间让我们使用您的开发人员或其他技术精通的专业人士，或者是否可以提供经济帮助。请发送邮件至 membership@jquery.org，告诉我们您如何提供帮助。

我们不愿过多谈论这些攻击，因为它们仍在发生，因为在黑客眼中，我们仍然是一个诱人的目标，他们甚至在撰写本文时仍在试图侵入我们的服务器。现在将所有这些信息与社区分享，我们试图在解释发生的事情的必要性与公开表示我们相信已经控制了局面的潜在反弹之间取得平衡。

也就是说，我们现在确实相信已经控制了局面。为此，我们要向整个 jQuery 基础设施团队表示衷心的感谢，他们卷起袖子，不懈地努力解决这些问题，使我们恢复正常状态。我们将继续保持警惕，确保我们为用户社区提供的所有资源的可靠性和安全性。