漫話：如何給女朋友解釋2億中國用戶簡歷是怎樣泄露的——攻擊篇

周六一大早，我正在給周五的面試者寫面試評價。女朋友在旁邊瀏覽新聞。

近日，外網安全研究人員偶然發現一個沒有被很好保護的 MongoDB 資料庫服務器，整個實體包含 854GB 資料，共有 202,730,434 條記錄，其中大部分是中國用戶簡歷，內容非常詳細，包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關係、期望薪水等內容。

拖庫

拖庫本來是資料庫領域的術語，指從資料庫中匯出資料。到了黑客攻擊泛濫的今天，它被用來指網站遭到入侵後，黑客竊取其資料庫。

黑客通過技術手段竊取資料庫的過程叫做拖庫。就像小偷偷東西是一樣的。

“拖庫”的通常步驟為：

• 1、黑客對標的網站進行掃描，查找其存在的漏洞，常見漏洞包括SQL註入、檔案上傳漏洞等。（小偷蹲點）

• 2、通過該漏洞在網站服務器上建立“後門(webshell)”，通過該後門獲取服務器操作系統的權限。（小偷想辦法進入室內）

• 3、利用系統權限直接下載備份資料庫，或查找資料庫鏈接，將其匯出到本地。（小偷盜走值錢的東西）

小偷想要入室盜竊的前提就是可以入室，那麼，在互聯網中，黑客是通過哪些手段入侵網站的呢？

利用網站漏洞

最常見的網站入侵的方式就是黑客利用網站的漏洞來對網站進行攻擊。這裡說的網站漏洞包括網站應用自身的漏洞、網站使用的WEB服務器的漏洞、網站使用的開源框架中的漏洞、網站使用的資料庫漏洞等。

比如，如果應用自身沒有做防SQL註入、存在檔案上傳漏洞等，就極大可能被黑客入侵。

黑客還有可能會利用系統漏洞，在特定的網站上進行掛馬，如果網站管理員在維護系統的時候不小心訪問到這些網站，就可能被植入木馬，也會引發後續的拖庫風險。

一旦漏洞被黑客發現並且利用，就有可能利用這些漏洞入侵網站，並竊取資料庫。

內部人員泄漏

除了網站漏洞可能會被黑客利用以外，還有些情況可能是由於人導致的。

比如曾經發生過的，某公司程式員將公司資料庫的地址和明文密碼等上傳到github中。

或者還有可能是內部人員的電腦由於安裝了一些不安全的軟體，或者瀏覽了不安全的網站，導致自己的電腦被黑客入侵，進而入侵公司服務器。

甚至有可能是內部人員主動泄露。

如何防止被拖庫

整個Web網站，從用戶瀏覽器到後端資料庫，要經歷很多個環節，各個環節都有可能被黑客有機可乘，所以，要對每一個環節都做好防護。

 （http://wemedia.ifeng.com/76236054/wemedia.shtml）

首先，在代碼開發時，要多多註意是否可能存在SQL註入、水平權限漏洞、垂直權限漏洞、XSS漏洞等。儘量避免在應用層被攻擊。其次就是那些容易被忽略的環節，如資料庫、Web服務器和人。

資料庫安全防護

• IP白名單

  • 只給需要訪問資料庫的webserver機器授權IP地址。

• 修改預設端口號

  • 比如Mysql的預設端口號是3306，建議修改掉。

• 每個業務用獨立的用戶名密碼

  • 至少保證每個不同的業務使用不同的用戶名和密碼。這樣就算其中的一條業務不幸被攻擊，不會輕易殃及別的業務。

• 不使用明文儲存密碼等重要資料

  • 對關鍵隱私資料做脫敏

Web服務器防護

• 隱藏服務器外網IP地址

  • 如果確實要保留外網IP，可以通過在web服務器前面增加負載均衡等接入層，隱藏web服務器的IP地址。

• 屏蔽Web服務等端口以外的所有端口

  • 除了80，443等Web服務端口，和個別必須的運維端口，通過防火牆屏蔽其他端口。

• 定期檢查更新系統

  • 發現存在漏洞後及時修複漏洞

對人防護

• 只給指定運維人員開放連接服務器的權限

• 禁止未經公司允許擅自公開公司專案代碼

洗庫

“洗庫”，也稱黑客洗庫，屬於黑客入侵的一種，就是黑客入侵網站，通過技術手段將有價值的用戶資料歸納分析，售賣變現。

說的簡單一點，就是一個小偷，入室盜竊後偷到了很多東西，他對這些贓物分類，然後進行銷贓的過程。

撞庫

”撞庫”是黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站後，得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址，這就可以理解為撞庫攻擊。

說的簡單一點，就是一個小偷，入室盜竊後偷到了一串鑰匙，然後他拿著這串鑰匙，在整個小區裡面挨家挨戶的進行開鎖。這個過程就是撞庫。

如何保護個人隱私資料

1、不同的網站，儘量不要使用相同的密碼。重要的賬號，一定要單獨設置密碼。如支付寶、微信等

2、定期修改密碼，可有效避免網站資料庫泄露影響到自身帳號

3、不使用工作郵箱註冊網絡帳號，以免密碼泄露後危及企業信息安全

4、不讓電腦自動“儲存密碼”，不隨意在第三方網站輸入帳號和密碼

5、定期在所有已登錄站點手動強制註銷進行安全退出

6、電腦勤打補丁，儘量不使用盜版或者破解軟體，避免被掛馬

7、不可信軟體、不可信網站，通過虛擬機訪問

8、儘量不要使用公共場所的免費WIFI

9、離開電腦前，記得鎖屏

記住以上這九點建議，可以有效的保護自己的隱私安全。