關於B站除夕夜被攻擊

早上醒來，被朋友發來的一個信息給震驚了，除夕夜B站被攻擊。

 

選擇在除夕夜爆出這個事情，想必是提早已經規劃好了，要形成必定的影響。目前網上的謠言不少，有說欠薪資，有說B站營銷等等。具體有什麼目的，以及什麼緣由就再也不評論，在真相沒有出來以前，一切都是不靠譜的。

 

據官方更新的最新消息，1.27號18:20起開始遭受了大面積攻擊。隨後10:30,後臺審覈系統被攻擊。據統計，這次遭受攻擊 帳號數約佔總帳號的1.8%，大部分是是L6和L5的帳號，影響的只有節操值，帳號和密碼安全不會受到影響。

 

一、從官方公佈的消息來看，目前管理端被黑入的可能性比較高。不過管理端已經有操做權限了，用戶資料和密碼是否已經外泄，這個不得而知了，我以爲機率仍是很高的。另外管理端上說，管理端是否和主站採用一個庫，由於不作物理隔絕，讓主庫暴露在外層，不管是內部操做仍是外部操做，對主庫都是又極高的危險。

 

二、密碼的存儲方式。我知道這是個極其簡單又容易遺漏的事情，像往年爆出的用戶密碼被盜，多數都是明文的緣由。如果明文存碼，用戶的資產後期會被洗劫和轉移，這對主站和用戶的傷害會很大。如果使用密文，是否採用MD五、SHA1等單向HASH加密，目前來看這種加密如今也是不安全的，經過彩虹表查表也是能夠破解的。如果採用對稱加密，主要是保護好祕鑰，能夠將數據和祕鑰分開存儲，分開管理，但要徹底保護好祕鑰也是比較複雜的事情，看項目的嚴謹程度。若是是對這方面比較重視，或者說用戶資產比較重要，仍是建議採用bcrypt或者scrypt等算法來進行加密，一來能夠有效抵禦彩虹表攻擊，二來是對服務器成本也不算高。這種算法即使是數據庫泄露，黑客也沒辦法大批量破解用戶密碼，從而切斷撞庫的根源。

 

三、已經被黑的用戶。仍是建議大家儘快更改密碼，由於此次事件仍是沒法肯定是否被攻擊者拿到密碼。建議改密碼最好採用字母大小寫+數字+特殊符號，雖然會複雜點，起碼會下降一些撞庫掃描的機率。

 

最後這起事件最辛苦的要數程序員和運維了，想必昨天晚上的年夜飯吃的並不開心或者沒吃上，除夕夜改bug，過年三大坑之一，被遇到了，這份糟糕的心情我十分理解，真是辛苦大家了！大家是最可敬的人，新春快樂！歡迎關注我的公衆號:cool_wier

掃描關注更多