暗网最大托管服务商DH被黑,6500多个网站一夜蒸发,天灾还是人祸?
2017年2月,在匿名黑客集体破坏并消灭了暗网托管服务提供商Freedom Hosting II后,Daniel's Hosting成为了暗网最大托管服务提供商。
但就在今年11月15日,黑客入侵了DH,此消息也得到了软件开发人员Daniel Winzen的证实。平台上托管的6500多个暗网服务被完全删除,由于运营商的设计没有备份,因此无法恢复它们。
Daniel Winzen的发声
11月15日晚上10:06(UTC) ,黑客使用正确的phpmyadmin和adminer密码登录服务器主机,并删除了所有的账户。
值得注意的是,“root”账号也被删除,该账号在晚上10:53注入数据库,并在上午12:50被删除。
此后不久,聊天、链接列表和点击计数器中的剩余数据库皆被删除,遗憾的是,由于黑客在11月14日5:33使用该用户访问了数据库,并且频繁的轮换日志而无法确认黑客可以访问数据库的时长,这使得root不能通过日志分析被找到。
但是,数据库密码最后一次更新是在10月20日,也就意味着破坏一定是在上个月内发生。
到目前为止,服务器上托管了大约6500个隐藏服务,但没有办法从这个漏洞中恢复,所有数据都消失了。一旦发现漏洞,将重新启用该服务,但现在首先需要找到它,最有可能在12月恢复服务。
Daniel Winzen表示,一些不属于托管设置的帐户和文件没有受到影响,认为黑客只能获得管理数据库权限,没有任何迹象表明黑客已经拥有完整的系统访问权。
新进展
目前,Daniel Winzen发现了一个漏洞,一个PHP零日漏洞。有关这个未修补漏洞的详细信息在俄罗斯PHP编程圈中已知大约一个月,但该漏洞在11月14日,即黑客攻击前一天,在更广泛的编程和信息安全社区中得到了关注。
图:Youtube / KazHackStan - HACK ZONE 18
但Daniel Winzen在接受采访时表示,他不相信发现的PHP零日漏洞就是黑客的实际入境点。
这是一个漏洞,用户认为这可能是用户的入口点,而我的设置没什么用,但是我觉得不是。因为具有数据库访问的配置文件只对指定用户只读,通过这个漏洞命令没有没有权限运行。
DH服务的源代码一直是在GitHub上开源的,攻击者有办法从中获得对DH服务内部更广泛的了解,这也可能有利于黑客行动。
谁是罪魁祸首?
Ta可能是网络犯罪集团,可能是民族国家黑客(ation-state hackers),可能是情报人员,也可能是执法机构......目前没有答案。
暗网就像一个巨大的深渊,它让犯罪可以毫无痕迹,最大程度地保护着隐私却也最大程度地破坏着隐私。
参考来源:
zdnet
danwin1210.me
- End -
往期热门资讯:
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com