0x01 前言

000webhost是国外著名空间商Hosting24旗下的免费虚拟主机产品,号称“比收费虚拟主机更好用”。而确实如其所说的,该空间非常 优质和稳 定。而该空间提供商也见识到了中国人口之多,中国用户申请到有一定难度。他的口碑也确实不错。000webhost提供的免费服务:全能PHP空间 1.5G ,支持PHP(不支持ASP),支持绑定顶级域名,无任何广告,独立控制面板,免费创建Mysql数据库,FTP上传下载,在线压缩解压,支持 fopen()函数。

000webhost.png

000webhost.png

该网站在10月27日确认了公司被黑客入侵,泄露的数据包括:用户名,邮箱,明文密码,登录IP等。

澳大利亚安全研究员Troy Hunt从匿名来源处获得了000webhost泄露的数据,并已经确定了数据的真实性。

毫无疑问000webhost的泄露事件是真实的,用户应该知情。我更希望000webhost公司能自己通知其用户信息已经泄露。

有匿名者在入侵事件发生后的第四天,公布了相关的泄露数据,笔者根据一些互联网上已经公开的信息做了一些简单的数据分析,旨在分析和探讨一旦数据被入侵了之后,会给我们带来哪些影响和危害,以及如何从中提取有利的信息和情报来应对接下来可能存在的各种损失。

data.png

data.png

0x02 数据分析

从已经泄露的数据可以发现:

泄露的用户数据大约有1500万条 泄露数据包括:注册邮箱,用户名,明文密码,登录IP等

下面笔者将按照以下几个维度来简单的分析一下。

注册邮箱

以下列举了用户注册邮箱的Top 10(几乎占到了注册总数的77%)。

email.png

email.png

很容易发现Google,雅虎,还有微软依旧是最受欢迎的三大邮件服务提供商,此处很庆幸某国内邮件服务提供商并没有上榜。(注:这可能是因为这是国外网站的关系,whatever,此处不上榜没有关系,后面可能还有呢!)

以下是国内的注册邮箱的Top 5。可见,某易和QQ邮箱占据了国内注册用户的绝大部分。

email_inner.png

email_inner.png

接下来我们来看一下国内高校邮箱注册的Top 5。我们发现,福州大学一枝独秀,在“安全意识”(用私有的校内邮箱注册各种外部站点)上遥遥领先国内其他大学,不知道在其他的学术研究上会不会也是如此呢,很期待!

university.png

university.png

用户名

说完邮箱,现在看看用户名Top 10,很多人可能会以为这个用户名字段没什么卵用。其实不然,很多黑客可以利用这个用户名生成最常见的国外和国内的用户名字典并配合其他信息(比如:生日 等)组合成更加有效的社工密码库,在暴力破解时往往能达到事半功倍的效果。因此,决不能低估用户名泄露可能会造成的潜在危害。

name.png

name.png

在上图中,我们不难发现Alex,John,David,Daniel等是相对较为常见的国外用户名,很有意思的是juan这个看似是中国人的名字也上榜了。

明文密码

看到此处,相信很多小伙伴们肯定已经不耐烦了。既然如此,那么重头戏来了:明文密码。对!你没有听错,明文密码,明文密码,明文密码(重要的东西 说三遍!)。你肯定会说,这么傻x,这么不负责任,明文保存密码,我天朝很多网站都已经不这么干了,他们怎么还这样呢?事实证明,很多时候,国外的月亮并 不比国内的圆!!!

先来看一组匿名者放出来的明文密码信息:

password.png

password.png

随便测试了几个,发现很多泄露的明文密码都可以登录,比如下面这个:

126.png

126.png

下面是用户登录密码的Top 10:

password1.png

password1.png

可见, 大部分都是我们常见的弱密码,有趣的是下面这个看似无规律的密码也出现了如此多次。

YfDbUfNjH10305070

一般而言,黑客在拿到这些明文密码后,可以轻松地且有针对性的实行撞库,因此在这种情况下对于那些安全意识比较薄弱的使用同一密码登录多个站点的用户而言成功率往往比较高。

此外,黑客在拿到这些泄露的明文密码后,比如提取最常见的前1000个明文密码,配合国家信息,就可以生成一个针对不同国家的常见密码库了,这种撞库的几率将会大大提高。

在此,笔者只能如“祥林嫂”般的告诫我们的网站和普通用户们:

千万不可明文保存任何账户相关的密码信息(这是最基本的安全防护啊,亲!) 千万不要在不同网站上使用同一密码并尽量保证密码的复杂性(不要嫌麻烦,必要时能减少你的损失哦!)

登录IP

说完密码,接下来咱们来分析一下登录IP。

ip.png

ip.png

关于IP,其实可挖掘的信息就非常多了,比如:

结合登录IP和用户名得到不同国家和地区的常见用户名,可生成有效的的暴力破解字典库 结合登录IP和密码得到不同国家和地区的常见账户密码,可生成强针对性的撞库密码库 结合登录IP和注册邮箱得到不同国家和地区的常用邮箱,可进行针对性的钓鱼

以上提及的是黑客可以挖据和利用的信息,相反地,作为我们企业的应急响应人员或者国家的公安机关在调查案件时可以同样获取一些有价值的线索,比如:

根据登录IP加强同一国家和地区的客户的账户异常监控和预警 根据登录IP查看自身网站是否有相同IP的客户群体,并通知其注意账户安全 根据登录IP通知同一国家和地区的客户防范潜在的网络诈骗,比如:联合区域的通信运营商向客户们发送防范网络诈骗的通知短信等等

0x03 小结

如今的互联网世界,随着黑客技术的提高,黑客工具的智能化和批量化,以及企业自身对安全事件的漠视态度,已经让黑客攻击的成本越来越低,各种数据 泄漏的事件层出不穷。笔者在此只是写了一下自己的一点拙见,希望能从已经泄露的数据中去挖掘和提取出一些有用的信息,从而做好有效地应对和处置来尽量避免 和减少可能的损失和危害。本人水平有限,分析不足之处,还望见谅!

相关链接:
http://www.freebuf.com/news/83363.html