漫話：如何給女朋友解釋2億中國使用者簡歷是怎樣洩露的——攻擊篇

週六一大早，我正在給週五的面試者寫面試評價。女朋友在旁邊瀏覽新聞。

近日，外網安全研究人員偶然發現一個沒有被很好保護的 MongoDB 資料庫伺服器，整個實體包含 854GB 資料，共有 202,730,434 條記錄，其中大部分是中國使用者簡歷，內容非常詳細，包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關係、期望薪水等內容。

拖庫

拖庫本來是資料庫領域的術語，指從資料庫中匯出資料。到了駭客攻擊泛濫的今天，它被用來指網站遭到入侵後，駭客竊取其資料庫。

駭客透過技術手段竊取資料庫的過程叫做拖庫。就像小偷偷東西是一樣的。

“拖庫”的通常步驟為：

• 1、駭客對標的網站進行掃描，查詢其存在的漏洞，常見漏洞包括SQL註入、檔案上傳漏洞等。（小偷蹲點）

• 2、透過該漏洞在網站伺服器上建立“後門(webshell)”，透過該後門獲取伺服器作業系統的許可權。（小偷想辦法進入室內）

• 3、利用系統許可權直接下載備份資料庫，或查詢資料庫連結，將其匯出到本地。（小偷盜走值錢的東西）

小偷想要入室盜竊的前提就是可以入室，那麼，在網際網路中，駭客是透過哪些手段入侵網站的呢？

利用網站漏洞

最常見的網站入侵的方式就是駭客利用網站的漏洞來對網站進行攻擊。這裡說的網站漏洞包括網站應用自身的漏洞、網站使用的WEB伺服器的漏洞、網站使用的開源框架中的漏洞、網站使用的資料庫漏洞等。

比如，如果應用自身沒有做防SQL註入、存在檔案上傳漏洞等，就極大可能被駭客入侵。

駭客還有可能會利用系統漏洞，在特定的網站上進行掛馬，如果網站管理員在維護系統的時候不小心訪問到這些網站，就可能被植入木馬，也會引發後續的拖庫風險。

一旦漏洞被駭客發現並且利用，就有可能利用這些漏洞入侵網站，並竊取資料庫。

內部人員洩漏

除了網站漏洞可能會被駭客利用以外，還有些情況可能是由於人導致的。

比如曾經發生過的，某公司程式員將公司資料庫的地址和明文密碼等上傳到github中。

或者還有可能是內部人員的電腦由於安裝了一些不安全的軟體，或者瀏覽了不安全的網站，導致自己的電腦被駭客入侵，進而入侵公司伺服器。

甚至有可能是內部人員主動洩露。

如何防止被拖庫

整個Web網站，從使用者瀏覽器到後端資料庫，要經歷很多個環節，各個環節都有可能被駭客有機可乘，所以，要對每一個環節都做好防護。

 （http://wemedia.ifeng.com/76236054/wemedia.shtml）

首先，在程式碼開發時，要多多註意是否可能存在SQL註入、水平許可權漏洞、垂直許可權漏洞、XSS漏洞等。儘量避免在應用層被攻擊。其次就是那些容易被忽略的環節，如資料庫、Web伺服器和人。

資料庫安全防護

• IP白名單

  • 只給需要訪問資料庫的webserver機器授權IP地址。

• 修改預設埠號

  • 比如Mysql的預設埠號是3306，建議修改掉。

• 每個業務用獨立的使用者名稱密碼

  • 至少保證每個不同的業務使用不同的使用者名稱和密碼。這樣就算其中的一條業務不幸被攻擊，不會輕易殃及別的業務。

• 不使用明文儲存密碼等重要資料

  • 對關鍵隱私資料做脫敏

Web伺服器防護

• 隱藏伺服器外網IP地址

  • 如果確實要保留外網IP，可以透過在web伺服器前面增加負載均衡等接入層，隱藏web伺服器的IP地址。

• 遮蔽Web服務等埠以外的所有埠

  • 除了80，443等Web服務埠，和個別必須的運維埠，透過防火牆遮蔽其他埠。

• 定期檢查更新系統

  • 發現存在漏洞後及時修複漏洞

對人防護

• 只給指定運維人員開放連線伺服器的許可權

• 禁止未經公司允許擅自公開公司專案程式碼

洗庫

“洗庫”，也稱駭客洗庫，屬於駭客入侵的一種，就是駭客入侵網站，透過技術手段將有價值的使用者資料歸納分析，售賣變現。

說的簡單一點，就是一個小偷，入室盜竊後偷到了很多東西，他對這些贓物分類，然後進行銷贓的過程。

撞庫

”撞庫”是駭客透過收集網際網路已洩露的使用者和密碼資訊，生成對應的字典表，嘗試批次登陸其他網站後，得到一系列可以登入的使用者。很多使用者在不同網站使用的是相同的帳號密碼，因此駭客可以透過獲取使用者在A網站的賬戶從而嘗試登入B網址，這就可以理解為撞庫攻擊。

說的簡單一點，就是一個小偷，入室盜竊後偷到了一串鑰匙，然後他拿著這串鑰匙，在整個小區裡面挨家挨戶的進行開鎖。這個過程就是撞庫。

如何保護個人隱私資料

1、不同的網站，儘量不要使用相同的密碼。重要的賬號，一定要單獨設定密碼。如支付寶、微信等

2、定期修改密碼，可有效避免網站資料庫洩露影響到自身帳號

3、不使用工作郵箱註冊網路帳號，以免密碼洩露後危及企業資訊保安

4、不讓電腦自動“儲存密碼”，不隨意在第三方網站輸入帳號和密碼

5、定期在所有已登入站點手動強制登出進行安全退出

6、電腦勤打補丁，儘量不使用盜版或者破解軟體，避免被掛馬

7、不可信軟體、不可信網站，透過虛擬機器訪問

8、儘量不要使用公共場所的免費WIFI

9、離開電腦前，記得鎖屏

記住以上這九點建議，可以有效的保護自己的隱私安全。