暗網最大託管服務商DH被黑,6500多個網站一夜蒸發,天災還是人禍?

Editor發表於2018-11-20

2017年2月,在匿名黑客集體破壞並消滅了暗網託管服務提供商Freedom Hosting II後,Daniel's Hosting成為了暗網最大託管服務提供商。


但就在今年11月15日,黑客入侵了DH,此訊息也得到了軟體開發人員Daniel Winzen的證實。平臺上託管的6500多個暗網服務被完全刪除,由於運營商的設計沒有備份,因此無法恢復它們。


暗網最大託管服務商DH被黑,6500多個網站一夜蒸發,天災還是人禍?



Daniel Winzen的發聲


11月15日晚上10:06(UTC) ,黑客使用正確的phpmyadmin和adminer密碼登入伺服器主機,並刪除了所有的賬戶。


值得注意的是,“root”賬號也被刪除,該賬號在晚上10:53注入資料庫,並在上午12:50被刪除。


暗網最大託管服務商DH被黑,6500多個網站一夜蒸發,天災還是人禍?


此後不久,聊天、連結列表和點選計數器中的剩餘資料庫皆被刪除,遺憾的是,由於黑客在11月14日5:33使用該使用者訪問了資料庫,並且頻繁的輪換日誌而無法確認黑客可以訪問資料庫的時長,這使得root不能通過日誌分析被找到。


但是,資料庫密碼最後一次更新是在10月20日,也就意味著破壞一定是在上個月內發生。


到目前為止,伺服器上託管了大約6500個隱藏服務,但沒有辦法從這個漏洞中恢復,所有資料都消失了。一旦發現漏洞,將重新啟用該服務,但現在首先需要找到它,最有可能在12月恢復服務。


Daniel Winzen表示,一些不屬於託管設定的帳戶和檔案沒有受到影響,認為黑客只能獲得管理資料庫許可權,沒有任何跡象表明黑客已經擁有完整的系統訪問權。



新進展


目前,Daniel Winzen發現了一個漏洞,一個PHP零日漏洞。有關這個未修補漏洞的詳細資訊在俄羅斯PHP程式設計圈中已知大約一個月,但該漏洞在11月14日,即黑客攻擊前一天,在更廣泛的程式設計和資訊保安社群中得到了關注。


暗網最大託管服務商DH被黑,6500多個網站一夜蒸發,天災還是人禍?

圖:Youtube / KazHackStan - HACK ZONE 18



但Daniel Winzen在接受採訪時表示,他不相信發現的PHP零日漏洞就是黑客的實際入境點。


這是一個漏洞,使用者認為這可能是使用者的入口點,而我的設定沒什麼用,但是我覺得不是。因為具有資料庫訪問的配置檔案只對指定使用者只讀,通過這個漏洞命令沒有沒有許可權執行。


DH服務的原始碼一直是在GitHub上開源的,攻擊者有辦法從中獲得對DH服務內部更廣泛的瞭解,這也可能有利於黑客行動。



誰是罪魁禍首?


Ta可能是網路犯罪集團,可能是民族國家黑客(ation-state hackers),可能是情報人員,也可能是執法機構......目前沒有答案。


暗網就像一個巨大的深淵,它讓犯罪可以毫無痕跡,最大程度地保護著隱私卻也最大程度地破壞著隱私。



參考來源:

  • zdnet
  • danwin1210.me


相關文章