如果拿到VPS提供商的权限,就可以获取它所有VPS的权限,自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题,一步一步渗透下去,最终找到了该VPS提供商所有用户控制面板的账号密码,最后找到了对应人的账户密码。
拿到用户密码后,大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的,进入控制面板就可以操控他服务器上的文件,但是没有文件打包编辑功能。最后,大鸟上传一个了网页后门,便获得了它的代码。
经过十分复杂的程序,大鸟获取了这台服务器的权限,顺利看到了代码。
或许从技术上,这并不算很难,但对于大鸟来说,这次“入侵”的复杂性远远高于技术,经过一个多月的“战斗”,看到代码后,他选择让自己大睡一场,进入冬眠。
窃取数据
对于白帽子而言,发现了网站的漏洞,他的工作就接近了尾声了。可对于黑色产业链(简称“黑产”)上的人来说,任务才刚刚开始,他们的目的是拿到数据,进而转化成金钱。
业内人士透露,黑客的惯用手法有很多种,但路径上存在相似性:获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限,找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。
这是一个相对理想的操作链条,但并不意味所有的黑客都能完成上述步骤,比如“拿到最高权限”并不容易,因此有些黑客下载了所有核心数据,但痕迹仍被记录。
对于目标的寻找,一位接近黑产的人士称,有时是黑客主动寻找“含金量高”的网站,侵入网站,窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业,如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。
还有一些则是接受定向委托,一般委托方来自商业竞争对手,需要获得竞争对手的客户数据,于是雇佣黑客。
在进入内网时,有时候黑客会直接查看对方的员工信息是否存在泄露,或根据常用密码top 100来进行测试,如果顺利登陆员工账号,就可以直接进入内网。
但对于需要核心数据的黑客而言,进入内网只是第一步,接下来,黑客需要对数据进行分析,判断核心数据所在位置,这就需要黑客对该网站的业务十分熟悉,甚至熟悉程度要高于网站运维人员,这样才能判断核心数据的子域名在哪一个IP段,进而找到核心数据。
当然,时机的选择十分重要,这一切都要在一个合适的时间里进行:一个网站流量大,看守者不容易发现的时间。比如,一般的社交网站,上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。
“拖库”同样是行话,意思是将目标数据下载下来。但在许多时候,他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时,会使用相同或相似的密码。因此,这就存在利用“撞库”的方式获得更多的数据的可能。
2014年底发生的12306网站用户信息泄露的事件,起初就被指是“撞库”行为,即用户的用户名和密码在其他网站泄露了,黑客利用其他网站获得的用户数据包,自动登录另一个网站,匹配出部分用户信息,形成数据库。
不过,即使是通过“撞库”发生的信息泄露,相关网站也难脱其责,因为只有存在安全漏洞,网站才可能被“撞库”。
目前,12306网站用户信息泄露事件发生的原因仍不明,官方仍未公布调查进展,网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。
黑色产业链
在数据被窃取之后,黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上,有人负责窃取数据,有人专门从事分销,寻找目标买家或帮买家寻找黑客。
记者试图寻找这样的人,于是在一些社工库论坛注册,发帖“雇佣黑客”,并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中,只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群,它们的名字直白简单,一般以“数据交易群”、“淘宝数据交易”等字样为主。
记者伪装成买家进入了其中一个交易群,并与一位声称可以提供“进线数据(打进某个电话的数据)”的人进行对接。该人士称,自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房,实时监控拨打该公司号码的电话,并将其截取下来,进行销售。
但陌生人的网络交易,确保交易安全是个难题,数据提供方可能提供假数据,而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问,该人士称,自己可以提供前一天的进线数据,并保证数据是一手信息。交易的过程,需要买家先少量购买,付钱后再工作,如果买家对第一批数据满意,再进行下一步更多数据的交易。
至于交易价格,该人士说,每个行业的价格不同,记者问到餐饮行业的某家巨头企业,他称这些数据价格1条10元,而这个价格称得上是“不便宜”。
数据交易达成的半年内,买家和数据提供商为唯一拥有者,数据商保证不会泄露给第三方。半年后,数据商就可以将数据打包销售,但此时数据已经大大贬值,一条的价格大概是几毛钱。
这时候,就产生了“二手数据”,二手数据一般会倒卖好几次,基本已经算是“公开”信息,这样的数据在一些社工网站上随处可见。记者潜水几个社工论坛多天,发现每天都会有几条数据供应帖发出,论坛用户只需要支付几个金币(一金币一元钱)的价钱就可以购买到大量数据,有的数据(如个别企业内部通讯录)甚至可以免费下载。