国内知名安全资讯平台Freebuf疑似在上个月20号遭到入侵,圈内流传出来的数据库截图如下图(附验证数据库方法)。
目前Freebuf已经发表声明表示在上个月网站的确遭到了黑客入侵。据了解黑客使用了中间人攻击,获取了管理员密码后成功达到入侵的目的。
Freebuf官方提出两处观点来大事化小。
其一是声明了管理员明文密码被抓取,并未对黑客劫持多少普通会员的明文密码做出回答,也没有对网站中是否曾被黑客插入记录登陆明文密码以及浏览器UA等的代码做出解释,更主要的是如果WordPress的子目录权限设置好了,即便有管理员的后台密码也上不到更多权限,日本政客的WordPress后台弱密码却拿不到Webshell的太多了,还是说后台密码和SSH之类的通用呢?
其二是对WordPress的密码过于自信,即便是安全圈子的,拿print('hello world')这类字符串做密码的人也是少数,一码通用和密码复杂性不高的比比皆是。如果觉得WordPress密码难解,找个GPU设备跑跑字典再说这话。
总之,质问是希望对圈子里的你我他负责,不针对谁,既然要给小伙伴们出分析报告,那么希望Freebuf对于自身防护方面做出更多的解释和分析,对公众负责对自己负责。
WordPress系统可以通过author参数查看管理员或注册用户名,即:freebuf.com/?author=XXXX
该取值即数据库中的第一列,为整数型。例如freebuf.com/?author=58669,撞库很少能撞出这么多连续的ID的用户的,也没有必要撞完了以后将明文密码还原为密文,因此网站的数据库已经开始流传的消息属实。
上面的用户为最后一个用户,显示注册时间为2015年5月20号,因此数据库遭下载的时间应该也是这一天。
下图为习科论坛会员提供的乌云社区的截图
建议在这之前注册的用户修改自己在其他平台上的常用密码,注意是其他平台的密码。
很早就听说了此次入侵事件,目前流出来的demo数据500多条,入侵者把入侵行为提交到了漏洞盒子平台,奈何国内平台一直碍于面子,没有国外类似卡巴斯基这样的大气,敢于面对,敢于承认,敢于早早为自己的用户负责。
【原文:知名圈子平台Freebuf数据库遭流出 安全脉搏编辑意小周整理发布】