Linode 被 Hack 事件始末

TL; DR 版本：Linode 是躺著中槍的路人

上個月，Linode 被打下來，洩漏了一堆資訊。逼得很多人不得不換卡和換密碼。幾個小時前，在 HackerNews 的一篇文章揭露 Linode 其實是路邊的那個倒楣鬼，人家不是要揍他，而是揍他的客戶…

以下內容是基於 HN 上的一篇懶人包翻譯，然後加上HTP 雜誌原文裡的資訊。

故事是這樣的：

有個駭客組織叫 HTP，最近有個匿名組織假冒成另一個組織 “ac1db1tch3z” 想要挖他們的底（去挖 HTP 的 botnet）。HTP 非常不爽想要報復，後來他們查到這個匿名組織在用 SwiftIRC 這個 IRC 服務在聯絡。而 SwiftIRC 的 nameserver 放在 Linode..。

所以 HTP 想要把 Linode 打下來，hack 進 SwitftIRC 放後門，然後報復回去。

他們一開始直接打 Linode，結果 1day exploit 被 Linode 防下來了。但是，Linode 的域名註冊商 name.com 被打下來了。所以他們的計畫改成弄一個 transparent proxy，打算從中間攔下 Linode 的帳號密碼…。

=== 題外話 ===

不只 name.com 被打下來了。 Xinnet, MelbourneIT, and Moniker 也被打下來了。
這一波總共有 550 萬的 domain 被打下來..no kidding

=== 題外話結束 ===

本來計畫是這樣的，但是他們發現了一個更棒的洞，直接打下了 Linode …

這當然很 high 啦。他們當然直接拿下 SwiftIRC 開始種後門。更精彩的是，因為不少站台也放在 Linode，中獎的名單還有： Nmap, Nagios, SQLite, OSTicket,
Phusion Passenger (modrails), Mono Project, Prey Project, Pastie, Sucuri, Hak5, Pwnie Express, Puppet, and oauth.

（都是一些超重要的站…）

但是，HTP 不知道的是，HTP 內部被 FBI 滲透了..因為 nmap.org 是個非常重要的站台（security scanner）。於是 Linode 很快就被 FBI 警告了 nmap.org 被打下來了。

於是，Linode 上其他站被 HTP 打下來的事，很快的也被知道了。這讓 HTP 的報復計畫來不及實現…於是 HTP 決定警告 Linode 至少在 5/1 不准講出去，否則 HTP 就會散佈這些他們拿到的這些敏感資訊（包括客戶資料以及信用卡資料）。如果 Linode 安靜的話，HTP 就會遵守約定刪掉拿到的這些東西。

=== 題外話 ===

敏感資訊包括 : 159000 + 信用卡資料，使用這名稱, $5 (我不知道是多少數量) 筆加密過的密碼，LiSH 使用者名稱，LiSH 密碼 「明碼版」 。還有 Linode 雇員 Login 帳號。

=== 題外話結束 ===

因為 HTP 打 Linode 本來就不是為了拿這些資料，而是想要打仇家。所以他們認為開給 Linode 的 Offer 已經算不錯了。如果他們不聲張，基本上就等於什麼事都沒發生。

但是！！Linode 還是公開了被打下的這件事（因為他們也被 FBI 逼著要公開，FBI 很明顯的不信任 HTP 會守約）。HTP 知道 Linode 其實被逼到一個很難自處的位置，於是也跟 Linode 達成了另一個協議，只要 Linode 在公告上說，經過分析之後發現打下他們的是 HTP。HTP 就會同意刪除當初拿到的這些資料….（很多 Hacker 其實只是想留名）

HTP 被這樣偷搞很不爽，於是他們就在查到底誰是 FBI 的內鬼。最近終於找到了，他們打進了這個內鬼的電腦，並且打開了 webcam。正好清楚拍到了 FBI 正在對某個 HTP 成員背後下指導棋，然後這個人就被踢出了組織…

這是到目前的故事。不過這是 HTP 單方面的故事，信不信就隨你了…

source

各种免责吐槽：

Lemon # a day ago

"$5 (我不知道是多少數量) 筆加密過的密碼"

這指的是 SHA256 Unix crypt hashed 密碼, 因 /etc/shadow 中經此法加密的密碼以 "$5" 起始

leafduo # a day ago

快联系个作家出本小说！

jewdore # 37 minutes ago

拍成电影噻

alexzhan # 9 hours ago

精彩至極

Cash # 9 hours ago

应该有蓝翔的事吧

kila # 10 hours ago

感觉很快有电影会上映

Nicholas Tau # 13 hours ago

带感···

chendahui007 # 16 hours ago

好精彩啊

lta0 # 18 hours ago

“打下来了”——这词组很带感

libo # 18 hours ago

FBI都出来了

Jack Smith # 19 hours ago

搞的像諜戰劇一樣啊.

js # a day ago

关于华为的这一句是什么意思呢？"Back in November, we hinted at Huawei access in our Symantec release. Their

registrar? Xinnet.

est > js # 19 hours ago

就是说华为官网各种登录都被日过的

一些无节操评论：

0#

疯狗 (谁淫荡啊谁淫荡) | 2013-05-08 11:21

最后一句特意高亮一下，也许八卦成分多，切不可以此为准啊，信不信就由各位了~

1#

c4bbage | 2013-05-08 11:26

题外话

2#

疯狗 (谁淫荡啊谁淫荡) | 2013-05-08 11:27

@c4bbage 哈哈 超八卦的题外话 够料

3#

xsser (十根阳具有长短!!) | 2013-05-08 11:28

我可以写个乌云版的故事么

4#

落叶纷飞 (im luoye,forever 00day.) | 2013-05-08 11:46

@xsser 啊哈，好啊

5#

insight-labs (Root Yourself in Success) | 2013-05-08 11:48

看HTP的zine里面要有料的多：

拿了sourceforge的backbone，并且发现早就有人到此一游了

拿了nmap（通过linode），把里面的一个nmap给美国国防部开发的专版nmap还有日志分析系统源码拖了

拿了一堆域名商，包括几个根域名的都拖了

拿了ICANN（全部root）拖库包括控制了几万个AS和边界路由的root

在一堆通用软件里面加了后门，比如unreal irc……

拿了一堆源码的repo站，随时可以插后门……

有个专门的0day挖掘小组，想日哪就让他们挖0day，几天就出exp

我能做的只有膜拜了

6#

horseluke (微碌) | 2013-05-08 11:55

打仇家要打到这境界真是第一次听（算是我少见多怪么）......-_-||

7#

GaRY | 2013-05-08 12:20

name.com, linode, evernote, Nmap, Nagios, SQLite, Phusion Passenger (modrails), Puppet.

不光国内没有放心奶。。国外也没有放心用的互联网产品啊。。。

8#

小乐天 (小白一枚) | 2013-05-08 13:12

我膜拜，有收徒么

9#

Finger (做我女朋友吧，我会再给你男朋友介绍一个) | 2013-05-08 13:14

xinnet...

10#

Demon (证道) | 2013-05-08 13:21

@落叶纷飞 落叶JJ你好。。。

11#

落叶纷飞 (im luoye,forever 00day.) | 2013-05-08 13:22

@Demon 啊哈，好啊

12#

Demon (证道) | 2013-05-08 13:26

@落叶纷飞 没见你上过。。

13#

tmp | 2013-05-08 13:47

@GaRY 这个和境界有关.当你觉得给某某厂商做的安全已经天衣无缝的时候...也许某些人站在你背后,笑了..

14#

GaRY | 2013-05-08 14:28

@tmp 倒不是感叹这个，只是觉得，无聊如何资料都会被泄漏，那么怎么能让影响最小呢？

15#

LittlePig (

文章来源于lcx.cc:Linode 被 Hack 事件始末

相关推荐: Struts2解析某些value值的include标签,webServer StackOverflow

比如: poc.jsp: PoC 访问poc.jsp后发现,webServer出现明显的递归调用输出: 异常: 然后按住F5刷新一小伙儿,webServer的连接数马上就被打满(tomcat,jboss,resin等测试直接打死,GlassFish可能不明显)…