看不见的眼在盯着你?

今天一个用户联系我,说站点被黑了,嵌入了恶意脚本。我当时给他建议,修改站点密码,删除站点文件重新上传,本地查杀病毒。用户反问我,密码随机生成的,那么复杂怎么可能泄露,一定是服务器被黑了。


(图源 :pixabay)

于是我查了一下服务器上的日志,发现有一个IP使用这个客户的FTP账户用户名和密码登陆站点,下载站点文件,再上传插入恶意脚本的版本。我将记录发给用户,他不在坚持是服务器被黑了。

但是,我也好奇是什么原因造成用户账户被盗呢,于是查了一下几台服务器看看是否有类似情况,结果一查,我擦,竟然有三个站点中招。中招的比例不高,说明不是服务器被黑。然而这都不是重点,重点是,中招的三个网站中有我的一个

咳咳,我可是安全意识非常高的,怎么可能会中招,一定是黑客搞错了。我三番五次核实之后,终于承认了这个事实,黑客没搞错,我的一个站点中招了。幸运的是,我的这个站点基本上处于濒死状态,没有啥访问量,也没啥重要数据。

然而到底是密码是如何泄露的呢?服务器被黑可以否掉,否则没理由放弃好多站只黑这三个小鱼。密码被暴力破解也不可能,这密码是随机生成,强度符合标准的密码。还有就是我电脑中毒,然后保存在FTP客户端的密码被盗取,然而,我FTP客户端里保存了N多站点,没理由放过其它。

那么剩下的还有一种可能,就是我FTP登陆的过程被别人嗅探并记录了。我去看了一下,我FTP中果然使用的是明文密码,其实我一直一来都用的加密方式,然而,大家都知道国内网络有时候灰常不稳定,于是记不得哪次我急着FTP,加密方式登陆不上去,就改明文了。和我那俩客户核实一下,果然他们也用的明文密码。


(图源 :pixabay)

那么嗅探又是咋回事呢,我有幸在一网络安全公司工作过一段时间,并且从事的是IDS(入侵监测系统)的开发,对这个其实还有很熟悉的。简单来讲,我们访问网络上的一个站点,数据流要经过很多网络节点,就好比我坐火车从广东开到黑龙江,要经过好多火车站一样。而这些节点,是可以监控到这些数据流的,根据数据包头部等特征,可以对数据进行协议分析,进而可以分析出各种协议。而如果传输的数据使用的是明文,那么就可以获取全部的明文信息。

曾经一段时间,我是很热衷于查看公司内部各种数据的,包括谁给谁发了邮件,邮件的账户密码是啥,发了啥内容,以及谁用FTP下载了哪些不堪入目的小视频😀。不过我没用来干坏事啦,而且都是网络安全公司,大家互相黑来黑去,玩得很Happy。

只是这次不是像以前一样都是公司内部熟人互相玩,而是说不定在哪个节点被谁嗅探到,并且拿我的用户名密码干坏事,这行为就比较恶劣了。

那么这个情况有没有办法避免呢,我看了一下记录,早在2010年,8年前,我就强制要求所有客户用加密方式的FTP(FTPES)登陆和上传数据了! 然而我大力推行的安全举措,受到了极大的阻力,很多客户以自己用的FTP客户端不支持加密方式为由,拒绝使用FTPES,并且要求我必须开放明文方式!最终的结果是,我妥协了,两种方式并存。

然后,8年后,我因一时的疏忽尝到了苦果。但是历经此事,我才明白以前把公网节点想象成不会作恶的想法是多么的幼稚可笑,也许节点不会作恶,但是管理节点的是人啊,是人在管理,就难免有人动歪心思,通过各种方式干坏事盈利。当然,也可能节点中招了,并植入恶意程序?


(图源 :pixabay)

不管咋样,地球实在是太危险了,我们回火星吧,网络实在是太危险了,留个心眼,以后能用加密的数据,千万不能用明文了。

毕竟,有无数双看不见的眼在盯着你呢

H2
H3
H4
3 columns
2 columns
1 column
22 Comments