昨日在朋友圈看到一则消息：“暗网更大托管商被黑客攻击，6500+网站被删”，遂找了一位安全技术大佬聊了聊，给大家分享一下这个“黑吃黑”的小故事。

　　1

　　北京时间 2018年11月16日早上9点，安全工程师小杨开机没两分钟就发现不太对劲：

　　“暗网雷达”显示，暗网的网站存活数从一万两千多猛降到八千多，只用了一天。

　　暗网雷达是404实验室研发的一款黑客工具，它时刻监测暗网的动向，本意是帮助人们搜寻来自暗网的“威胁情报”，因为暗网上常常曝出一些数据泄露和黑客入侵的消息。但这次，它监测了到更大的情况。

　　“一夜之间， 接近3000个暗网网站都挂了？” 小杨不敢相信自己的眼睛。毕竟，那可是暗网。

　　暗网上有毒品、有枪支、有色情交易，它是很多人眼里的“法外之地”，因为暗网上的用户都是匿名。

　　访问者通常利用一个叫 Tor 的技术，经过层层跳转来到暗网。就像 *** 电影里那样，经过一道道马仔传话才能找到毒品交易现场。

　　（Tor 的基本原理示意图，大致感受一下就好）

　　

　　Tor 的中文名是“洋葱路由”（The onion router），在洋葱皮一般的层层身份掩护下，人们为所欲为。

　　据说，暗网中经常出现令人不适的内容，就连在搜索引擎里输入“暗网”两个字，也会蹦出令人不舒服的字眼：

　　

　　（从女孩的贴身 *** *** ，到摄像头信息、假币、再到快递身份证……各种东西应有尽有，但所有交易信息都不辨真伪，毕竟在这样一个黑暗丛林，黑吃黑的事随时可能发生。图片来自浅黑科技微博）

　　

　　国际警察、美国的 FBI （美国联邦调查局）等机构曾经多次对暗网的网站进行打击，捣毁了不少网站，也抓了一些人，可这些网站依然此消彼长，总有人铤而走险，恶向胆边生。

　　“怎么会一夜之间就关闭了两三千个网站？” 起初小杨以为是暗网雷达监测出错，他赶紧告诉实验室负责人，排查一切可能存在的故障。

　　到了晚上，到了第二天，故障没发现一个，“消失的网站”倒是越来越多。

　　根据“暗网雷达”11月19日的数据显示：原本一万二左右个暗网存活网站已经阵亡到只剩 5478个，剩下的似乎也生死未卜，整个暗网感觉快变成“薛定谔的暗网”。

　　（暗网雷达截图，由知道创宇404实验室提供）

　　

　　究竟发生了什么？

　　小杨忽然想起去年暗网发生的一件大事。

　　2

　　暗网网站一夜消失的情况并未首次发生。

　　去年（2017年）2月份前后就发生过一次。当时暗网网站一夜之间消失了一万多个，大约占当时整个暗网的五分之一。

　　当时，暗网更大的服务托管商 Freedom Hosting II （FH2）遭黑客攻击，几万个跑在他们服务器上的网站直接被一锅端。一个匿名黑客在被黑掉的托管商的主页上放了一封信，声称对攻击负责。

　　

　　原来，黑客一开始并没打算干掉 FH2，他们只是搞到了数据读取权限。

　　但是，他们在上面发现很多成人动作片网站，以及很多……儿童 *** ，主页上挂出的图片不堪入目。（很多国家对儿童色情都是零容忍态度）

　　“发车也罢，可这是校车啊！”，而且我们还发现管理员收了托管费，所以他显然知道这事儿。”

　　一怒之下，匿名黑客这才决定擦擦键盘，删库跑路。 至此，一万多个暗网网站 *** 掉。

　　有人怀疑那次行动是知名黑客组织“匿名者”（Anonymous）干的，他们曾做过许多正义的事，比如黑进 ISIS 恐怖组织之类的。

　　也有人说不是，毕竟所有匿名的黑客都可以甩锅给“匿名者”。

　　（传说中“匿名者”黑客组织的标志）

　　

　　但不管是谁，那次行动对整个暗网产生了很深远的影响。

　　或许是出于对“匿名者”的忌惮，暗网的不少其他网站也在纷纷关闭。2017年3月份有机构统计，整个暗网四千多个存活的网站节点，跟“鼎盛”时期相比，已经减少了85%。

　　这次又是“匿名者”黑客出手了？

　　也未必，兴许是 FBI 或者国际警察干的。

　　FBI 就常年盯着暗网，据说早在2013年他们就曾控制过暗网更大托管商 Freedom Hosting 的服务器，收集信息起诉了浏览儿童色情的暗网用户。（居然抓的人看片而不是卖片的，看来真是“没有买卖就没有杀害”，打击儿童色情从我做起……）

　　荷兰、德国、英国等十几个国家地区的执法机构也经常在暗网搞出一些大事。比如 2016 年的“刺刀行动”中，他们直接抓到了暗网更大的非法交易网站 Hansa 的管理员，控制了网站权限。

　　但那次警方并没有直接端掉网站，而是直接接管了个网站，在上面继续提供交易平台。最终钓出一百多个毒贩，掌握了42万个暗网网站注册用户的资料，追查到一万多个人的家庭住址。

　　那次行动也是搞得犯罪分子们人心惶惶，整个暗网活跃度一下子降低了不少。

　　这次是警察又出动了吗？

　　到了18号，小杨去国外新闻网站一查，发现有一条热乎的黑客新闻：

　　

　　原来是黑客干的。

　　他们顺着新闻找到被黑掉的暗网托管商 Daniel’s Hosting，发现网站主页上贴着一则公告。

　　不过，内容貌似不是“匿名者”留的，而是被黑的站长 Daniel自己写的。

　　

　　根据描述，国际时间11月15日晚上10点左右，黑客不知用了什么 *** 秘密登录了服务器主机，删除了所有账户，包括可以注入数据库的 “root” 权限账号。

　　凌晨 0:50，服务器上的所有聊天记录、链接列表……所有数据库挨个消失。

　　当被黑的站长试图查看系统日志，找出黑客利用的漏洞和攻击手段，发现黑客早在删库跑路之前，就把系统日志给改写得稀巴烂。

　　尽管如此，他怀疑黑客利用一个PHP 远程命令执行漏洞绕过了一些安全限制，因为这个漏洞刚好就在黑客入侵的前一天才被公开（一般这类漏洞被称之为 0day漏洞），被黑掉的服务器主机正好落在这个漏洞的“射程范围”之内。

　　由于数据没备份，所以被删除的所有数据都无法恢复，它们将永远消失在这个世界……

　　为了今后防止重蹈覆辙，托管商 Daniel 决定公布了一部分和此次遭遇入侵相关的代码在 Github 上，供所有人审查安全问题。

　　究竟是谁干的？是某个正义的黑客组织？还是执法部门？或者……是托管商的竞争对手？

　　到现在也没人知道，或许它将成为一个永远的秘密。

　　尽管如此，这次黑客行动显然还是有意义的。

　　就像之前每一次打击那样，无论是黑客还是执法部门，每次打击过后，暗网网站数量和活跃用户数都会下降。因为它让肆无忌惮的人开始心虚，开始没有安全感。

　　一次次打击暗网的黑客行动，不断警示着他们：“哪有什么法外之地，即便在光亮照不进的地方，也有黑客收拾你。”

　　3

　　故事已经讲完。

　　事后，我和知道创宇404实验室的副总监隋刚简单八卦了这件事，在此分享给大家作为信息补充，以下是我们的聊天记录。

　　谢幺：这次暗网6000多个网站被删，你觉得问题出在哪儿？

　　隋刚：暗网搭建服务器已经成为一种套路化的操作，有不少人专门帮别人提供服务器搭建暗网网站，这次被黑的和去年的过程类似。

　　既然是套路化搭网站，那么一旦套路里的软件体系出现漏洞，所有用这套 *** 搭建的网站服务器就都会受到影响，所以一次性影响到很多网站。

　　这次黑客可能用的是一个PHP 远程命令执行的漏洞，拿到权限以后登录了数据库，具体漏洞分析就不讲了。

　　谢幺：“单从技术上来讲，这次黑掉暗网是什么水平？算小意思、中等意思、还是大意思？”

　　隋刚：从漏洞PoC（漏洞利用 *** 的验证程序）公布的时间点上来推断，需要的技术水平并不高，主要是打了个时间差，赶在暗网托管商修复漏洞之前攻击。但黑客能快速批量删掉 6000 多个网站，还是做了一些工作的，不然光是手动删都需要一段时间。

　　谢幺：“暗网雷达”是用什么原理监测到数据变化的？

　　隋刚：暗网雷达属于被动监测。简单来说就是用爬虫对整个暗网进行爬取，相当于每天派无数个机器人去地下黑市探风。由于整个暗网的规模并不大，所以这种爬取的频率很高，数据更新比较及时。

　　谢幺：暗网规模不大？以前不是常常流传一个说法“暗网比互联网大很多倍”，还有人用冰山的图片来表示暗网，所以实际并不是这样的？

　　隋刚：那个说法其实有点危言耸听，人们习惯把神秘的东西给神化。实际暗网的网站数量并不太多，尤其是近几年数量下降了不少，活跃用户也降低了不少。但即便如此，目前上面依然全是各种违法交易和内容，所以仍然需要保持监测。

　　谢幺：为暗网提供搭建服务违法吗？为什么他们没有被抓？

　　隋刚：既然是暗网下的，从“明网”的角度来看，肯定是违法的，因为基本上这些服务器提供的服务都是违法的（黄赌毒、枪支等），但由于整个 *** 是匿名的，所以不是很好抓。

　　但实际抓没抓，我也不太清楚，从技术角度上来看，难度虽大，但还是有可能抓到的，毕竟全世界各种执法机构、安全公司都盯着。

　　谢幺：“从你的个人主观感受来看，你觉得这次事情出了之后，暗网会朝着怎样的方向发展？”

　　隋刚：这次被删库的 Daniel's Hosting 如果只是负责暗网的托管，从规模上来说应该不大。只要那些违法交易的需求和利益还在，托管商就会尝试恢复，重新搭建，当然也可能有别的暗网服务商来做。

　　从技术角度看，未来如果暗网需要长期持续存在，暗网的搭建者也会升级，很可能出现不同的的开发体系的服务端，防止像这样被一锅端。关于暗网的攻防也会一直进行下去……

　　

　　我们经常能收到形形 *** 的垃圾邮件，这说明我们的邮箱地址发生了泄露，比邮箱地址泄露更可怕的是，黑客竟然轻易就能看到我们的邮件内容。

　　

　　黑客是如何做到的呢？

　　1、通过邮箱漏洞

　　可以说，绝对没有漏洞的网站是不存在的，差别只在于有的漏洞隐藏比较深，而有的漏洞则十分容易攻破。当黑客攻破网站，存储于服务器的数据就手到擒来。

　　尽管目前国内的几大邮箱平台相对比较完善，通常不存在低端漏洞，但由于用户量大、收益可观，仍然是黑客持续觊觎的目标。

　　2、通过其他 *** 产品漏洞

　　大品牌邮箱可能难以攻破，但并不影响黑客发动邮件攻击。由于大多数用户在多个网站都使用相同的密码，黑客只需要攻击一部分网站，获取用户名和密码，就可以使用拖库攻击的方式攻入邮箱系统。

　　一些论坛、软件上面可能留存有你的账户信息，当这些 *** 产品维护不佳、出现漏洞时，你的账户信息就会被黑客攻取，然后在其他大型 *** 产品（如邮箱）上进行批量登录，就算邮箱本身无懈可击，邮件内容依然会发生泄漏。

　　3、通过暗网流通

　　当黑客攻取一批数据，他不一定永远需要这些数据，但可能会将数据出售给其他黑客或黑灰产业从业者，用户信息在不知不觉中被多次贩卖。

　　邮箱攻击的成本低、范围广，是黑客最常使用的攻击方式，当邮箱地址被贩卖，垃圾邮件就产生了，而当邮箱账户被贩卖，迎来的可能就是邮件泄密、甚至企业机密泄露这样的大问题。

　　正是因为有利可图，黑客才会不厌其烦地发起邮件攻击。在近两年，黑客已不满足于针对普通用户的邮箱攻击，而是将攻击目标逐渐转向企业用户。企业用户目标大、经济实力更强，也就面临着更严重的邮件攻击威胁。

　　商务密邮对邮件进行一邮一密式加密，令邮件安全得到充分的保障。