傳說中很黃很暴力的暗網,被黑客滅掉了一半……
歡迎關注“創事記”的微信訂閱號:sinachuangshiji
文/謝么謝么
來源:淺黑科技(qianheikeji)
昨日在朋友圈看到一則訊息:“ 暗網最大託管商被黑客攻擊,6500+網站被刪 ”,遂找了一位安全技術大佬聊了聊,給大家分享一下這個“黑吃黑”的小故事。
1
北京時間2018年11月16日早上9點,安全工程師小楊開機沒兩分鐘就發現不太對勁:
“暗網雷達”顯示,暗網的網站存活數從一萬兩千多猛降到八千多,只用了一天。
暗網雷達是404實驗室研發的一款黑客工具,它時刻監測暗網的動向,本意是幫助人們搜尋來自暗網的“威脅情報”,因為暗網上常常曝出一些資料洩露和黑客入侵的訊息。但這次,它監測了到更大的情況。
“一夜之間,接近3000個暗網網站都掛了?”小楊不敢相信自己的眼睛。畢竟,那可是暗網。
暗網上有毒品、有槍支、有色情交易,它是很多人眼裡的“法外之地”,因為暗網上的使用者都是匿名。
訪問者通常利用一個叫Tor的技術,經過層層跳轉來到暗網。就像警匪電影裡那樣,經過一道道馬仔傳話才能找到毒品交易現場。
(Tor的基本原理示意圖,大致感受一下就好)
Tor的中文名是“洋蔥路由”(The onion router),在洋蔥皮一般的層層身份掩護下,人們為所欲為。
據說,暗網中經常出現令人不適的內容,就連在搜尋引擎裡輸入“暗網”兩個字,也會蹦出令人不舒服的字眼:
(從女孩的貼身原味內衣絲襪,到攝像頭資訊、假幣、再到快遞身份證……各種東西應有盡有,但所有交易信息都不辨真偽,畢竟在這樣一個黑暗叢林,黑吃黑的事隨時可能發生。圖片來自淺黑科技微博)
國際警察、美國的FBI(美國聯邦調查局)等機構曾經多次對暗網的網站進行打擊,搗毀了不少網站,也抓了一些人,可這些網站依然此消彼長,總有人鋌而走險,惡向膽邊生。
“怎麼會一夜之間就關閉了兩三千個網站?”起初小楊以為是暗網雷達監測出錯,他趕緊告訴實驗室負責人,排查一切可能存在的故障。
到了晚上,到了第二天,故障沒發現一個,“消失的網站”倒是越來越多。
根據“暗網雷達”11月19日的資料顯示:原本一萬二左右個暗網存活網站已經陣亡到只剩5478個,剩下的似乎也生死未卜,整個暗網感覺快變成“薛定諤的暗網”。
(暗網雷達截圖,由知道創宇404實驗室提供)
究竟發生了什麼?
小楊忽然想起去年暗網發生的一件大事。
2
暗網網站一夜消失的情況並未首次發生。
去年(2017年)2月份前後就發生過一次。當時暗網網站一夜之間消失了一萬多個,大約佔當時整個暗網的五分之一。
當時,暗網最大的服務託管商 Freedom Hosting II(FH2)遭黑客攻擊,幾萬個跑在他們伺服器上的網站直接被一鍋端。一個匿名黑客在被黑掉的託管商的主頁上放了一封信,聲稱對攻擊負責。
原來,黑客一開始並沒打算幹掉FH2,他們只是搞到了資料讀取許可權。
但是,他們在上面發現很多成人動作片網站,以及很多……兒童色情網站,主頁上掛出的圖片不堪入目。(很多國家對兒童色情都是零容忍態度)
“發車也罷,可這是校車啊!”,而且我們還發現管理員收了託管費,所以他顯然知道這事兒。”
一怒之下,匿名黑客這才決定擦擦鍵盤,刪庫跑路。至此,一萬多個暗網網站被幹掉。
有人懷疑那次行動是知名黑客組織“匿名者”(Anonymous)乾的,他們曾做過許多正義的事,比如黑進ISIS恐怖組織之類的。
也有人說不是,畢竟所有匿名的黑客都可以甩鍋給“匿名者”。
(傳說中“匿名者”黑客組織的標誌)
但不管是誰,那次行動對整個暗網產生了很深遠的影響。
或許是出於對“匿名者”的忌憚,暗網的不少其他網站也在紛紛關閉。2017年3月份有機構統計,整個暗網四千多個存活的網站節點,跟“鼎盛”時期相比,已經減少了85%。
這次又是“匿名者”黑客出手了?
也未必,興許是FBI或者國際警察乾的。
FBI就常年盯著暗網,據說早在2013年他們就曾控制過暗網最大託管商Freedom Hosting的伺服器,收集資訊起訴了瀏覽兒童色情的暗網使用者。(居然抓的人看片而不是賣片的,看來真是“沒有買賣就沒有殺害”,打擊兒童色情從我做起……)
荷蘭、德國、英國等十幾個國家地區的執法機構也經常在暗網搞出一些大事。比如2016年的“ 刺刀行動 ”中,他們直接抓到了暗網最大的非法交易網站Hansa的管理員,控制了網站許可權。
但那次警方並沒有直接端掉網站,而是直接接管了個網站,在上面繼續提供交易平臺。最終釣出一百多個毒販,掌握了42萬個暗網網站註冊使用者的資料,追查到一萬多個人的家庭住址。
那次行動也是搞得犯罪分子們人心惶惶,整個暗網活躍度一下子降低了不少。
這次是警察又出動了嗎?
到了18號,小楊去國外新聞網站一查,發現有一條熱乎的黑客新聞:
原來是黑客乾的。
他們順著新聞找到被黑掉的暗網託管商 Daniel’sHosting ,發現網站主頁上貼著一則公告。
不過,內容貌似不是“匿名者”留的,而是被黑的站長Daniel自己寫的。
根據描述,國際時間11月15日晚上10點左右,黑客不知用了什麼方法祕密登入了伺服器主機,刪除了所有賬戶,包括可以注入資料庫的“root”許可權賬號。
凌晨0:50,伺服器上的所有聊天記錄、連結列表……所有資料庫挨個消失。
當被黑的站長試圖檢視系統日誌,找出黑客利用的漏洞和攻擊手段,發現黑客早在刪庫跑路之前,就把系統日誌給改寫得稀巴爛。
儘管如此,他懷疑黑客利用一個PHP遠端命令執行漏洞繞過了一些安全限制,因為這個漏洞剛好就在黑客入侵的前一天才被公開(一般這類漏洞被稱之為0day漏洞),被黑掉的伺服器主機正好落在這個漏洞的“射程範圍”之內。
由於資料沒備份,所以被刪除的所有資料都無法恢復,它們將永遠消失在這個世界……
為了今後防止重蹈覆轍,託管商Daniel決定公佈了一部分和此次遭遇入侵相關的程式碼在Github上,供所有人審查安全問題。
究竟是誰幹的?是某個正義的黑客組織?還是執法部門?或者……是託管商的競爭對手?
到現在也沒人知道,或許它將成為一個永遠的祕密。
儘管如此,這次黑客行動顯然還是有意義的。
就像之前每一次打擊那樣,無論是黑客還是執法部門,每次打擊過後,暗網網站數量和活躍使用者數都會下降。因為它讓肆無忌憚的人開始心虛,開始沒有安全感。
一次次打擊暗網的黑客行動,不斷警示著他們:“ 哪有什麼法外之地,即便在光亮照不進的地方,也有黑客收拾你 。”
3
故事已經講完。
事後,我和知道創宇404實驗室的副總監隋剛簡單八卦了這件事,在此分享給大家作為資訊補充,以下是我們的聊天記錄。
謝么:這次暗網6000多個網站被刪,你覺得問題出在哪兒?
隋剛:暗網搭建伺服器已經成為一種套路化的操作,有不少人專門幫別人提供伺服器搭建暗網網站,這次被黑的和去年的過程類似。
既然是套路化搭網站,那麼一旦套路里的軟體體系出現漏洞,所有用這套方法搭建的網站伺服器就都會受到影響,所以一次性影響到很多網站。
這次黑客可能用的是一個PHP遠端命令執行的漏洞,拿到許可權以後登入了資料庫,具體漏洞分析就不講了。
謝么:“單從技術上來講,這次黑掉暗網是什麼水平?算小意思、中等意思、還是大意思?”
隋剛:從漏洞PoC(漏洞利用方法的驗證程式)公佈的時間點上來推斷,需要的技術水平並不高,主要是打了個時間差,趕在暗網託管商修復漏洞之前攻擊。但黑客能快速批量刪掉6000多個網站,還是做了一些工作的,不然光是手動刪都需要一段時間。
謝么:“暗網雷達”是用什麼原理監測到資料變化的?
隋剛:暗網雷達屬於被動監測。簡單來說就是用爬蟲對整個暗網進行爬取,相當於每天派無數個機器人去地下黑市探風。由於整個暗網的規模並不大,所以這種爬取的頻率很高,資料更新比較及時。
謝么:暗網規模不大?以前不是常常流傳一個說法“暗網比網際網路大很多倍”,還有人用冰山的圖片來表示暗網,所以實際並不是這樣的?
隋剛:那個說法其實有點危言聳聽,人們習慣把神祕的東西給神化。實際暗網的網站數量並不太多,尤其是近幾年數量下降了不少,活躍使用者也降低了不少。但即便如此,目前上面依然全是各種違法交易和內容,所以仍然需要保持監測。
謝么:為暗網提供搭建服務違法嗎?為什麼他們沒有被抓?
隋剛:既然是暗網下的,從“明網”的角度來看,肯定是違法的,因為基本上這些伺服器提供的服務都是違法的(黃賭毒、槍支等),但由於整個網路是匿名的,所以不是很好抓。
但實際抓沒抓,我也不太清楚,從技術角度上來看,難度雖大,但還是有可能抓到的,畢竟全世界各種執法機構、安全公司都盯著。
謝么:“從你的個人主觀感受來看,你覺得這次事情出了之後,暗網會朝著怎樣的方向發展?”
隋剛:這次被刪庫的Daniel'sHosting如果只是負責暗網的託管,從規模上來說應該不大。只要那些違法交易的需求和利益還在,託管商就會嘗試恢復,重新搭建,當然也可能有別的暗網服務商來做。
從技術角度看,未來如果暗網需要長期持續存在,暗網的搭建者也會升級,很可能出現不同的的開發體系的服務端,防止像這樣被一鍋端。關於暗網的攻防也會一直進行下去……
參考文章:
暗網雷達報告,《暗網最大網路託管商(Daniel'sHosting)被黑事件》
Freebuf,《誰幹的?暗網最大網路託管商被黑,6500個網站遭徹底刪除》
PConline.《Tor真的十分安全麼其原理以及漏洞詳解!》
被黑的Danwin1210.me公告
嘶吼.《85%的暗網已經關閉,這是為什麼?》
(最後再介紹一下我自己吧,我是謝么,科技科普作者一枚,日常是把各路技術講得通俗有趣。想跟我做朋友,可以加我的個人微信:dexter0。)