梦殇国际

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 刷粉
月光下载 云刷粉软件 云刷粉网页 水贴机电脑版 安卓软件 梦殇导航(教程集合) 有任何问题请点击提问
查看: 113|回复: 3
打印 上一主题 下一主题

[聊天] 【转】安全科普:你的密码在谁的手里?

[复制链接]

4642

帖子

931

积分

5857

TBS

明明可以靠脸吃饭,偏要任性的靠才华

UID
15854
积分
931
TBS
5857
智商
3792
节操
1054
海贝
336
阅读权限
222
在线时间
389 小时
注册时间
2014-10-13
最后登录
2018-1-3
跳转到指定楼层
1
发表于 2014-11-27 11:12:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
感觉这篇文章写的挺赞,转来给大家看看


前几天,身边的很多朋友出现了密码被盗的现象,而且盗走的时候都是批量地被盗走,自己注册的很多个不同的网站密码同时被盗,有感于普通人对密码的意识比较淡薄,所以本篇文章将会剖析一下黑客盗号常用的手段以及普通人保护自己密码安全所能做的安全措施。

密码是怎样被黑客盗取的?

首先,账号被盗取,第一个怀疑的就是电脑被中木马的问题,黑客通过在个人电脑中植入木马,可以利用键盘记录,钓鱼等方式来实现对密码的盗取。于是,作者检查了身边几个被盗密码朋友的电脑,并没有发现任何木马,很明显通过木马的方式盗取他们账号的可能性不大。

既然不是自己的电脑有问题,那么很可能就是曾经注册过的网站被人“拖库”,这里解释下拖库,所谓“拖库”就是网站的用户数据被人用SQL注入或者其它手段盗取,得到了这个网站的用户名、密码信息,很多知名网站都发过“拖库”事件,如CSDN、天涯、小米等,黑客间将拖下来的库进行交换、集中,就形成了一个又一个所谓的“社工库”,社工库中存放了很多个被“拖库”网站的帐号密码信息,于是作者在一个黑客比较常用的的社工库网站上搜索朋友的账号信息,果然发现了泄露出的账号密码:

从截图可以看出,朋友的密码是从51CTO泄露出来的,密码进行了MD5加密,不过想要解出这个密码,并非不可能,网上提供了很多可以查询MD5原文的网站,如在CMD5上对密文进行检索,很快发现了密码原文:

解密成功后,用密码去登录朋友的相关账号,果然登录成功。看来密码泄露的途径已经找到。那么,现在问题来了,黑客是如何入侵到朋友的多个网站的呢?

触目惊心的地下数据库

这时,就要祭出我们的又一个工具了(www.reg007.com),因为很多人都有使用同一个邮箱注册很多业务的习惯,而通过这个网站可以查询到某个邮箱注册过什么网站,第一次见过这个网站时,我和我的小伙伴们都惊呆了,下面是查询某个邮箱时的情况,共查询出21个注册过的网站:

其实很多朋友还都有这样一种习惯,就是为了方便记忆,都会把所有网站的账号都用一个相同的账号和密码注册,无论是小社区,还是像京东,天猫这样涉及财产的商城。这种做法是很不安全的,一旦其中一个网站沦陷,所有的帐号都将危险。特别是随着2011年CSDN数据库泄露事件之后,越来越多网站的数据库出现泄露的事情,而且这些被泄露的数据库都能够在网站上随意找得到。大家可以想一想,在你的账号密码都相同的情况下,通过以上的步骤,就可以轻易地知道你上过什么大学(学信网)、做的什么工作(前程无忧、智联)、买了什么东西(京东、tb)、认识什么人(云通讯录)、说过什么话(QQ、微信)
下图是一些地下网站交换的部分社工库信息:

上面所说,并非危言耸听,因为现实中存在太多可以“撞库”的网站,也存在很多黑产大规模“洗库”、“撞库”、“shua库”的例子。这里解释下这几个名词,在通过“拖库”取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常被称作“洗库”,最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”往往收获颇丰。

在漏洞提交平台“乌云”上进行搜索,可以发现很多网站都存在撞库漏洞,同时,攻防双方此消彼长,屡防不绝,“撞库”这种攻击手法在黑产圈也一直因“简单”、“粗暴”、“有效”等特点而特别流行。

作者在项目中就曾经遇到国内某知名邮箱的大规模撞库事件,以下是当时往来邮件的部份节选:


异常分析

从今天上午约10点钟开始,一直持续到晚上约21:10分结束,有明显的异常登陆情况,基本可确定是黑客行为。黑客使用自动登陆程序,从同一IP短时间内发起大量登陆请求,请求并发及请求频率很高,最高每分钟超过六百次登陆请求。今天全天,类似的异常登陆,共成功登陆22.5万次,失败登陆4.3万次,涉及到的账号约为13万(每个账号登陆2次);

黑客从wap基础版登陆,登陆成功后再切换至标准版,并在标准版关闭登陆通知,从而触发了一条设置修改的短信提醒给到账号绑定的手机号。从日志分析,暂未发现黑客修改登陆通知后还有其他行为,黑客登陆后未发送任何邮件。

初步分析结果如下:

1、 黑客采用标准的用户名-密码认证方式登陆,认证成功率很高,账号登陆为一次即成功,未成功用户也未实施更多的尝试登陆。查询最近几天日志,未发现这些用户有尝试登陆记录。也就是用户密码为其他途径获得,并非暴力破解邮箱系统密码获得;
2、 黑客盗用的用户注册地全国均有,无明显特征,注册时间无明显特征;
3、 通过抓包截取到的部分用户名和密码,可以看出不同用户的密码均不相同,无任何相似之处,且并非简单密码;挑选了几个用户密码,尝试登陆163邮箱、大众点评网等网站,发现登陆成功;
4、黑客登陆IP地址来源非常多,来源城市有陕西西安市、陕西安康市、安徽合肥市、安徽黄山市、安徽淮南市等城市;在我们封堵异常登陆IP后,黑客可快速更换登陆IP,导致我们的封堵迅速无效。我们只能跟在黑客后面,根据频次特征,在达到一定数量后,才实施封堵。
5、用户此前的活跃度状况如何,需要明天才能匹配得出。但从现状来看,我个人初步猜测,应该是活跃非活跃的用户都有,而且应该是非活跃用户居多。
从以上分析,基本可以看出,黑客手头已经有了这批用户的用户名及密码信息,且绝大多数是正确的。密码可能是之前各种网络密码信息泄露导致。

安全建议

最后,作者问一句,大家是希望自己的密码是在别人手里呢,还是存在别人的数据库里面?

为了保护大家的密码,作者在这里给大家一些密码的建议,

1、定期修改自己的密码;
2、重要网站的账号密码和非重要网站的账号密码一定要分开,如天猫、京东等涉及金钱的,最好做到账号密码都不一样;
3、密码具备一定的复杂度,如超过8位,包含大小写及特殊符号,为了方便记忆,可使用专门的密码软件管理自己的密码,比较著名的有keepass;
希望通过以上的内容,能够让大家对密码安全有一个更好的认识,从而更好地保护自己的个人隐私和财产安全。

[本文由NSTRT撰写并投稿FreeBuf,本文版权属于TRT团队,转载请注明来自FreeBuf.COM]
转载自FreeBuf.com,http://www.freebuf.com/news/special/52234.html


[发帖际遇]: 哎呦哥哥被家人知道你在梦殇很屌,赏赐1 TBS. 幸运榜 / 衰神榜
学爆吧刷粉就来有妹有爱有基佬暗晓军团,群号:155292007
回复

使用道具 举报

726

帖子

0

积分

249

TBS

UID
26100
积分
0
TBS
249
智商
95
节操
235
海贝
0
阅读权限
0
在线时间
21 小时
注册时间
2014-11-24
最后登录
2015-3-23
2
发表于 2014-11-27 13:06:14 | 只看该作者
你的小尾巴!!!
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

1775

帖子

481

积分

1838

TBS

其实很热情只是有点慢

UID
16729
积分
481
TBS
1838
智商
2045
节操
1776
海贝
40
阅读权限
30
在线时间
121 小时
注册时间
2014-8-15
最后登录
2017-11-21
3
发表于 2014-11-27 13:17:20 爪机党 | 只看该作者
字有点多 先马着
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

5547

帖子

1133

积分

193

TBS

I am so Diao

UID
5394
积分
1133
TBS
193
智商
3257
节操
1946
海贝
295
阅读权限
50
在线时间
748 小时
注册时间
2014-2-16
最后登录
2022-2-23
4
发表于 2014-11-27 15:00:50 | 只看该作者
涨姿势了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

GMT+8, 2024-11-22 23:05,Processed in 0.031108 second(s), 21 queries.

Powered by Discuz!X3.4© 2001-2013 Comsenz Inc. 手机版|黑名单|站点地图|RGB转16进制|梦殇国际 MSI

贴吧交流群:172119290 | 编程交流群:232677917 | 官方YY频道:13234704 | 本站所有软件仅供学习交流使用!

工信部备案:赣ICP备14004172号-1 | 如有需要请联系 邮箱:541641237#qq.com (点击发邮件)

快速回复 返回顶部 返回列表