漫話：如何給女友解釋2億中國用戶簡歷是怎樣泄露的——攻擊篇

週六一大早，我正在給週五的面試者寫面試評價。女友在旁邊瀏覽新聞。

近日，外網安全研究人員偶然發現一個沒有被很好保護的 MongoDB 數據庫服務器，整個實例包含 854GB 數據，共有 202,730,434 條記錄，其中大部分是中國用戶簡歷，內容很是詳細，包括中文全名、家庭住址、電話號碼、電子郵件、婚煙情況、政治關係、指望薪水等內容。

本文是如何給女友解釋爲何12306會用戶信息泄露（上）——密碼篇的下篇，原名：『如何給女友解釋爲何12306會用戶信息泄露（下）——攻擊篇』。

拖庫

拖庫原本是數據庫領域的術語，指從數據庫中導出數據。到了黑客攻擊氾濫的今天，它被用來指網站遭到入侵後，黑客竊取其數據庫。

黑客經過技術手段竊取數據庫的過程叫作拖庫。就像小偷偷東西是同樣的。

「拖庫」的一般步驟爲：

• 一、黑客對目標網站進行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞等。（小偷蹲點）

• 二、經過該漏洞在網站服務器上創建「後門(webshell)」，經過該後門獲取服務器操做系統的權限。（小偷想辦法進入室內）

• 三、利用系統權限直接下載備份數據庫，或查找數據庫連接，將其導出到本地。（小偷盜走值錢的東西）

小偷想要入室盜竊的前提就是能夠入室，那麼，在互聯網中，黑客是經過哪些手段入侵網站的呢？

利用網站漏洞

最多見的網站入侵的方式就是黑客利用網站的漏洞來對網站進行攻擊。這裏說的網站漏洞包括網站應用自身的漏洞、網站使用的WEB服務器的漏洞、網站使用的開源框架中的漏洞、網站使用的數據庫漏洞等。

好比，若是應用自身沒有作防SQL注入、存在文件上傳漏洞等，就極大可能被黑客入侵。

黑客還有可能會利用系統漏洞，在特定的網站上進行掛馬，若是網站管理員在維護系統的時候不當心訪問到這些網站，就可能被植入木馬，也會引起後續的拖庫風險。

一旦漏洞被黑客發現而且利用，就有可能利用這些漏洞入侵網站，並竊取數據庫。

內部人員泄漏

除了網站漏洞可能會被黑客利用之外，還有些狀況多是因爲人致使的。

好比曾經發生過的，某公司程序員將公司數據庫的地址和明文密碼等上傳到github中。

或者還有多是內部人員的電腦因爲安裝了一些不安全的軟件，或者瀏覽了不安全的網站，致使本身的電腦被黑客入侵，進而入侵公司服務器。

甚至有多是內部人員主動泄露。

如何防止被拖庫

整個Web網站，從用戶瀏覽器到後端數據庫，要經歷不少個環節，各個環節都有可能被黑客有隙可乘，因此，要對每個環節都作好防禦。

 （http://wemedia.ifeng.com/76236054/wemedia.shtml）

首先，在代碼開發時，要多多注意是否可能存在SQL注入、水平權限漏洞、垂直權限漏洞、XSS漏洞等。儘可能避免在應用層被攻擊。其次就是那些容易被忽略的環節，如數據庫、Web服務器和人。

數據庫安全防禦

• IP白名單

• 只給須要訪問數據庫的webserver機器受權IP地址。

• 修改默認端口號

• 好比Mysql的默認端口號是3306，建議修改掉。

• 每一個業務用獨立的用戶名密碼

• 至少保證每一個不一樣的業務使用不一樣的用戶名和密碼。這樣就算其中的一條業務不幸被攻擊，不會輕易殃及別的業務。

• 不使用明文保存密碼等重要數據

• 對關鍵隱私數據作脫敏

Web服務器防禦

• 隱藏服務器外網IP地址

• 若是確實要保留外網IP，能夠經過在web服務器前面增長負載均衡等接入層，隱藏web服務器的IP地址。

• 屏蔽Web服務等端口之外的全部端口

• 除了80，443等Web服務端口，和個別必須的運維端口，經過防火牆屏蔽其餘端口。

• 按期檢查更新系統

• 發現存在漏洞後及時修復漏洞

對人防禦

• 只給指定運維人員開放鏈接服務器的權限

• 禁止未經公司容許擅自公開公司項目代碼

洗庫

「洗庫」，也稱黑客洗庫，屬於黑客入侵的一種，就是黑客入侵網站，經過技術手段將有價值的用戶數據概括分析，售賣變現。

說的簡單一點，就是一個小偷，入室盜竊後偷到了不少東西，他對這些贓物分類，而後進行銷贓的過程。

撞庫

」撞庫」是黑客經過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登錄其餘網站後，獲得一系列能夠登陸的用戶。不少用戶在不一樣網站使用的是相同的賬號密碼，所以黑客能夠經過獲取用戶在A網站的帳戶從而嘗試登陸B網址，這就能夠理解爲撞庫攻擊。

說的簡單一點，就是一個小偷，入室盜竊後偷到了一串鑰匙，而後他拿着這串鑰匙，在整個小區裏面挨家挨戶的進行開鎖。這個過程就是撞庫。



如何保護我的隱私數據

一、不一樣的網站，儘可能不要使用相同的密碼。重要的帳號，必定要單獨設置密碼。如支付寶、微信等

二、按期修改密碼，可有效避免網站數據庫泄露影響到自身賬號

三、不使用工做郵箱註冊網絡賬號，以避免密碼泄露後危及企業信息安全

四、不讓電腦自動「保存密碼」，不隨意在第三方網站輸入賬號和密碼

五、按期在全部已登陸站點手動強制註銷進行安全退出

六、電腦勤打補丁，儘可能不使用盜版或者破解軟件，避免被掛馬

七、不可信軟件、不可信網站，經過虛擬機訪問

八、儘可能不要使用公共場所的免費WIFI

九、離開電腦前，記得鎖屏

記住以上這九點建議，能夠有效的保護本身的隱私安全。