记录第三次黑客攻击

这是我经历的第三次攻击了,每一次都是来的突然压力巨大,每一次都是忙于应对疲惫不堪,但每一次也都能成长不少。

昨天发生了什么?

昨天晚上睡觉之前刷新闻的时候,突然收到一个朋友的微信,说hellogwu被劫持了。第一反应是:卧槽不是吧….打开一看果然!网站去了go.padsdel,带着一身冷汗打开了电脑。检查了服务器,没发现异常,检查了NS也没法先异常….咋回事呢?

排查了许久没找到原因,发现只有hellogwu.com和我个人网站jing.do出了问题。一般来说这种非营利性的网站,不是黑客的目标才是,而且这么巧这么多网站就这两个出问题了,一下子让我联想到了不好的事情。

联想归联想,还是要把问题解决,尝试使用了备份,问题依旧。偶然发现如果不使用https,网站就可以正常访问,想了半天把问题归咎到CDN上,难道CDN的NS被劫持了?查了各种report,上了twitter瞄了眼,貌似也没有大型的攻击呀。奇了个怪。

在http下,网站、数据库链接一切正常,查阅服务器和数据库各种log也没问题,这黑客也太厉害了吧,不留下任何痕迹…来来回回折腾了几次已经半夜四点多了,实在想不通原因,只能先将网站指导一个提示页面,然后休息会。

没几个小时又爬起来了,收到几十条用户邮件,询问为啥网站上不去了,突然睡意全无,进入一级战斗状态,其实在睡梦中就有一个问题我一直没想通,这是一个非常神奇的问题,最终也是从这里突破的。就是我的mail.xxx.xxx的域名A记录到服务器,服务器设置了直接跳转。但是这个域名也被劫持了。按理说如果是黑客进入服务器注入了劫持代码,服务器运行代码进行了跳转。但是这个域名就完全说不通了,也就是说整个的劫持不是发生在文件系统中,不是在端口上,就是在NS上。

这条线索找下去,终于发现了问题。我的NS控制台被人登陆,增加了跳转规则…真是日了狗….

clean up所有东西,进行了安全排查。系统又重新上线了。

这次大排查,发现了一大堆问题,甚至有些文件有被注入的情况,虽然排除了和这次攻击的关系,但是依旧引起了极大的警惕。

自责 与 疑问

这是一次对方知道了我的密码,然后进入操作平台修改规则的低级攻击,但是几个疑问涌上心头:

  1. 这次攻击正好是我从旧金山回来,期间我用了宾馆和飞机上的wifi,我的密码是在那时候泄露的吗?
  2. 如果泄露了密码,为何只攻击了hellogwu和我的个人网站呢?

首先,这件事让我极大的提高了警惕,对于密码这种东西,特别是服务器以及SA的密码,切记切记不再公开使用。另外尽量使用cert来进行登录操作。现在其实挺后怕的,不知道我的账号已经泄露,可能真的需要改密码了。

毕竟自己的账号什么的还好,网站上的数据是大家的信息,这泄露了可不得了。

其次,到底是巧合还是有人蓄意为之。我比较倾向于后者,密码的监听和泄露应该是随机的,既然随机,对方应该将所有的账号内的东西,统一操作黑掉,没必要还特地选择几个。

另外,为什么是HelloGWU和Jing.do呢?前者流量巨大,可以理解,但是我的个人网站除了我写写文章发发牢骚,并没有其他的价值。

这更像是一起针对我的攻击,那个人也许正在暗中观察,甚至来到这里看了这篇文章,但是我希望告诉他一些事:这些网站都是服务性质的,请勿伤害奉献者和用户,如果总有这样的人,再也不会有人去为大家奉献,人人得以自危不是一件好事。

后记

这是第三次发生此类事件,第一次经验不足,文件丢光了,痛定思痛重建了数据;第二次被黑客random干了,学会了备份的重要性;这一次让我感受到了保护自己的重要性,我的数据再也不只是我的了。

另外,真正的高手,他会和你共存,不断的吸血。桃花潭水深千尺,技术苦海望穿海啊。


One Comments

  • 一朵小葵花

    2017-09-07

    你可以找一个志同道合的朋友 一起维护hellogwu 这样彼此有个关照~~~强强联合未尝不可,一个人再厉害也很累啦~

    Reply

发表评论

*评论会直接推送给博主
*填写邮箱可以收到回复提醒哦~