You are hacked
大家好我又来科(zhuang)普(bility)了。偶然林俊杰官网的密码泄露风波四起,想想有必要聊聊这方面的问题。
首先我们生活在一个怎样的网络世界呢?来看个链接吧。
wooyuu所为何物?他们官方的介绍是这样的
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
你可以叫他乌云,或者巫云,或者我晕,但是我们坚信它是汇聚互联网安全研究者力量的,将带来暴风雨清洗一切的乌云。
如果你点进链接大致浏览一遍,你就会发现几乎所有常用的互联网应用,都多多少少被爆过漏洞。这里不是想说网站存在漏洞是理所当然,而是想解释网站存在漏洞这个可能性在所难免,攻与防往往是相对发展的。加上互联网发达的今天,所谓的黑客技术门槛已然有所降低,有些零基础的有心之人拿着下载到的工具在线搜寻漏洞,然后根据漏洞再进行入侵已经变得不像想象中的那么困难。
在这里我应该可以拿图举证:
这是我某一天例行检查服务器日志的时候看到的记录,这里有位仁兄在凌晨12点半的时候花了一个多小时的时间通过各种方式想找到我们服务器的漏洞(这大半夜的不睡觉想必也是蛮拼的),虽然无功而返,可是能发现漏洞信息交换的便捷,当某一个系统组件被爆出漏洞时,这些人就会根据自己掌握的这些信息在互联网上广撒网,如果网站的运维人员不及时跟进相关的漏洞信息,就容易让有心之人得逞。所以这需要网站背后的公司或个人进行持续的资金与人力投入,成本可谓大大的。
接下来进入正题。
虽然我不知道黑林俊杰官网的人是出于什么目的,但是大致有以下几个方面:
对于自己所掌握的技术的自豪感,驱使有些人想通过拿下别人的网站获得自我认同。
增加自己手中用户数据库的内容
帮助网站寻找漏洞并提供解决方案,升级网站安全性
这里就主要说说第二点吧。不出意外的情况下,国内各种黑客的手中都有一些记录了别人账号和密码等敏感信息的数据库,他们拿着这些隐私数据能做很多事情,比如进你的网银花你的钱,用你的微信勾搭你的妹子(以上场景纯属虚构,如有雷同我不负责=。=)。如果顺利拿到林俊杰官网的用户数据,可以增加自己的数据库内容,因为很多用户的习惯是所有网站都使用相同的用户名和密码,如果顺利,黑客们就能用拿到的林俊杰官网的数据去撞库,测试他们想要的网站的信息。所以一再强调,我们要养成密码分级以及勤改密码的好习惯。
比如你会遇到这样的场景:我一个很久很久没用的QQ号,为什么今天登陆上去被提示密码错误?没错啦,大致就是你的一些信息在别的地方被别人窃取,然后试出了你QQ的密码然后被修改了。
更多密码泄露的原因可以点这里了解:http://blog.unnoo.com/?p=2181
最后,据说林俊杰官网泄露的数据是去年关站维护之前被拿到的数据,里面只包括用户名和密码。理论上不必有太大的恐慌。不过因为关站维护之后更新官网网站程序,用的数据库包含了旧官网的数据,所以维护好之后的新官网我们可以用之前注册的账号密码进行登陆。具体猜测可见我去年的一条微博,链接为http://weibo.com/1686295857/Al296qPTI
大概也是因为知道旧官网有被拖库吧,所以新官网开放之后,在我们登陆网站进入会员中心,时常提示修改密码,不知道各位还有没有印象。
题外话:
国内的环境是当有网站被爆出漏洞,一般容易开启某些不相关人员的嘲讽模式,可是嘲讽从来都不能解决问题,因为某一天你所依附的网络也有可能被入侵,被拖库,毕竟一般人用的网站程序,都是别人写好公布在网上的。
如果你不作为,那么在那些有所作为的黑客面前,你将一无所有。这里的“你”包括所有互联网用户以及网站维护人员,peace~
(本文如有技术逻辑错误,欢迎拍砖)