昨儿大半夜刷新闻看到个老新闻回顾,讲2011年那个叫LulzSec的黑客团伙怎么把索尼、福克斯这些大公司搞瘫痪的。我叼着根快烧到手指的烟头,突然把自己吓出一身冷汗——去年我那小破博客不也被人用同样手法搞瘫过吗?
一、硬盘报废的血泪现场
记得那天早上七点手机就炸了,十几个用户截图骂我博客挂黄网广告。我tm穿着裤衩冲到电脑前,服务器监控满屏红。数据库被人拖了个干净,首页被换成黑客宣言,最绝的是硬盘直接给写废了,连备份分区都冒出坏道提示音。
- 黑客伪造我账号发勒索邮件:“不给钱就公布用户聊天记录”
- 管理后台被人试了3800多次密码 日志显示全是123456/admin这种弱智组合
- 支付宝接口被塞了后门 凌晨三点有笔648元的异常充值
瘫在椅子上盯着天花板那盏破灯,突然想起LulzSec当年最爱搞的SQL注入攻击,跟我服务器日志里那句危险的"drop table user"对上了。气得我直接拔了电源线,抱着主机箱打车直奔电脑城。
二、机房里的急救手术
维修小哥拆机时飘出来的焦糊味我现在都记得。硬盘修复要价八千还不敢保证数据完整,狠心花一千二买了个二手硬盘做系统盘,老硬盘挂从盘抢救数据。蹲在满是灰尘的机房角落里,看着进度条像蜗牛爬:
二手硬盘装完系统,原硬盘读不出分区表
下午2:17用DiskGenius扫出39%的碎片文件,用户头像全变成碎肉块
下午5:40论坛板块数据库成功恢复,注册时间表却多了六千条空白用户
三、连夜给网站穿盔甲
抱着半残的服务器回家时天都黑了。灌了杯浓茶开始折腾防护,照着LulzSec被逮捕后的法庭报告挨个补漏洞:
- 密码爆破防护 装了个叫Limit Login的插件,输错五次直接封IP
- 网址动手脚防护 在nginx设置里加了堆过滤规则,遇到可疑参数直接拦截
- 数据库穿防弹衣 把root权限拆成三个账号,重要操作都加动态验证码
最绝的是那个支付宝后门。黑客把收款账户改成个137开头的手机号,还在代码里埋了个定时器——每天凌晨三点自动发起转账。要不是金额异常触发风控,我下个月房贷都得被骗光。
四、现在连我奶奶都进不来了
搞到现在连我自己登录后台都得过五关斩六将。早上录了个操作视频给同事看:
第一步输账号密码 → 第二步手机收验证码 → 第三步在动态口令APP点确认 → 第四步回答验证问题“去年你在三亚摔断腿的日期”
同事笑得直捶桌:“你这比银行金库还麻烦!”但最近三个月确实再没人碰过我的服务器,连爬虫都少了大半。上周故意在数据库表名写了个超级好猜的"user_password",等了七天都没人碰它。
现在刷到黑客新闻反倒有点手痒。昨天凌晨还在安全组规则里加了条:“检测到渗透行为自动发送表情包嘲讽”,可惜到现在还没机会用上。
