暗網最大託管服務商DH被黑，6500多個網站一夜蒸發，天災還是人禍？

2017年2月，在匿名黑客集體破壞並消滅了暗網託管服務提供商Freedom Hosting II後，Daniel's Hosting成為了暗網最大託管服務提供商。

但就在今年11月15日，黑客入侵了DH，此訊息也得到了軟體開發人員Daniel Winzen的證實。平臺上託管的6500多個暗網服務被完全刪除，由於運營商的設計沒有備份，因此無法恢復它們。

Daniel Winzen的發聲

11月15日晚上10:06（UTC） ，黑客使用正確的phpmyadmin和adminer密碼登入伺服器主機，並刪除了所有的賬戶。

值得注意的是，“root”賬號也被刪除，該賬號在晚上10:53注入資料庫，並在上午12:50被刪除。

此後不久，聊天、連結列表和點選計數器中的剩餘資料庫皆被刪除，遺憾的是，由於黑客在11月14日5:33使用該使用者訪問了資料庫，並且頻繁的輪換日誌而無法確認黑客可以訪問資料庫的時長，這使得root不能通過日誌分析被找到。

但是，資料庫密碼最後一次更新是在10月20日，也就意味著破壞一定是在上個月內發生。

到目前為止，伺服器上託管了大約6500個隱藏服務，但沒有辦法從這個漏洞中恢復，所有資料都消失了。一旦發現漏洞，將重新啟用該服務，但現在首先需要找到它，最有可能在12月恢復服務。

Daniel Winzen表示，一些不屬於託管設定的帳戶和檔案沒有受到影響，認為黑客只能獲得管理資料庫許可權，沒有任何跡象表明黑客已經擁有完整的系統訪問權。

新進展

目前，Daniel Winzen發現了一個漏洞，一個PHP零日漏洞。有關這個未修補漏洞的詳細資訊在俄羅斯PHP程式設計圈中已知大約一個月，但該漏洞在11月14日，即黑客攻擊前一天，在更廣泛的程式設計和資訊保安社群中得到了關注。

圖：Youtube / KazHackStan - HACK ZONE 18

但Daniel Winzen在接受採訪時表示，他不相信發現的PHP零日漏洞就是黑客的實際入境點。

這是一個漏洞，使用者認為這可能是使用者的入口點，而我的設定沒什麼用，但是我覺得不是。因為具有資料庫訪問的配置檔案只對指定使用者只讀，通過這個漏洞命令沒有沒有許可權執行。

DH服務的原始碼一直是在GitHub上開源的，攻擊者有辦法從中獲得對DH服務內部更廣泛的瞭解，這也可能有利於黑客行動。

誰是罪魁禍首？

Ta可能是網路犯罪集團，可能是民族國家黑客（ation-state hackers），可能是情報人員，也可能是執法機構......目前沒有答案。

暗網就像一個巨大的深淵，它讓犯罪可以毫無痕跡，最大程度地保護著隱私卻也最大程度地破壞著隱私。

參考來源：

• zdnet
  
• danwin1210.me