内容简介:图片来源图虫:已授站长之家使用声明:本文来自于微信公众号 量子位(ID:QbitAI),作者:晓查 乾明,授权站长之家转载发布。
图片来源图虫:已授站长之家使用
声明:本文来自于微信公众号 量子位(ID:QbitAI),作者:晓查 乾明,授权站长之家转载发布。
程序员的大本营被黑客攻击了!
就在五一假期的最后一天,一些 程序员 查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,取而代之的是黑客留下的一封勒索信!
这封信中表示,他们已经将源代码下载并存储到了自己的服务器上。
受害者要在 10 天之内,往特定账户支付0. 1 比特币(约合人民币 3800 元),否则他们将会公开代码,或以其他的方式使用它们。
“要找回你丢失的代码并避免代码泄漏:将0. 1 比特币(BTC)发送至我们的比特币地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并通过邮件与我们联系,提供您的git登录信息和付款证明。地址为admin[at]gitsbackup[dot]com。
如果你不确定我们是否有你的数据,请联系我们,我们会给你发送证明。你的代码已经被下载并备份到我们的服务器上。
如果我们在接下来的 10 天内没有收到你的付款,我们将公开你的代码或以其他方式使用它们。”
从这个威胁话语来看,受到攻击的是GitHub上的私有库。而且,不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。
突如其来的攻击
根据GitHub上的搜索数据显示,一共有 373 名用户受到了攻击。根据GitLab公布的数据,黑客至少可以访问所有 131 个用户和 163 个存储库。
这些受到攻击的储存库的代码和提交信息,全都被一个名为 “gitbackup” 的账号删除。
在各大社交媒体上,一些受害者将遭到攻击归咎于Atlassian开发的Git GUI应用程序SourceTree,认为黑客利用了其中的漏洞。
但攻击波及的范围涵盖多个平台,The Register报道称,这次攻击很可能是针对无意识的安全性较差的存储库,而不是特定的漏洞。
根据ZdNet报道,黑客可能是扫描互联网上的Git配置,然后提取了其中的登录凭证登录Git库,来完成的这波操作。
截止到发稿时间,还没有人向攻击者的比特币账户支付赎金。取而代之的是,这一比特币地址遭到了不少举报。
根据Bitcoin Abuse数据库显示,已经有 31 人举报了这一比特币地址,表示对方是一个黑客,希望删除地址。
ZdNet记者Catalin Cimpanu表示,攻击现在已经停止,并没有新的账户被攻击的情况出现。
遭到攻击不要慌
根据GitLab的官方声明,这次黑客攻击事件最大的问题在用户:
“我们有充分证据表明,受影响帐户的密码以明文形式存储在相关代码库的部署中。”
因此提高安全意识才是保护自己代码的最好方法,GitLab建议用以下方法防止密码被黑客盗取:
1、使用强密码,降低被黑客破解的风险;
2、用密码管理 工具 存储密码,不要使用明文;
3、开启双因素身份验证,并使用SSH密钥提高。
如果你已经不幸中招,也不要急着交赎金,因为即使交钱也无法保证代码不会被黑客公开。
至于已经被删除的代码,一位早期受害者在StackExchange论坛指出,代码其实还在,是可以恢复出来的,只是HEAD被黑客修改了而已。
他还给出了一系列补救办法,被GitLab官方推荐。
输入以下代码:
git checkout origin/master
git reflog # take the SHA of the last commit of yours
git reset [SHA]
能看到黑客的提交记录,并修复origin/master。但是问题还没有完全解决,如果输入 git status ,还是会显示:
HEAD detached from origin/master
如果你在本地备份了代码,那就好办了,直接把本地代码强制push上去:
git push origin HEAD:master --force
如果你在本地没有备份,仍然可以从远程库克隆,用 git reflog 或者 git fsck 可以找到最后一次提交并更改HEAD。
接下来唯一需要担心的可能就是黑客是否会公布你的私有代码了。
代码被公开之痛
关于代码被公开,国内一些公司也有切肤之痛。
比如大疆,其一名前员工,将含有公司商业机密的代码上传到了GitHub的公有仓库中,造成源代码泄露。
根据这些源代码,攻击者可以SSL证书私钥,访问客户的敏感信息,比如用户信息、飞行日志等等。
根据评估,这次泄漏代码一共给大疆造成了116. 4 万的经济损失。
前不久,关于这一代码泄露事件也得到了判决:
“有期徒刑六个月,并处罚金 20 万。”
最近,B站的源代码也被人公开到GitHub,虽然很快被封禁,B站也已经报警处理,但有不少网友克隆了代码库,隐患已经埋下,补救起来也颇为头疼。
如果黑客公开了这次获取的所有代码,对其中一些小团队来说可能就是灭顶的打击了。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- ToBet遭到黑客恶意攻击 Big.game也疑似遭遇黑客攻击
- “黑客”必学攻击之“跨站脚本攻击”
- 黑客如何进行区块链51%攻击(双重攻击)
- 黑吃黑!帐户劫持黑客论坛OGusers被黑客攻击
- 黑客基础,Metasploit模块简介,渗透攻击模块、攻击载荷模块
- 黑雀攻击:揭秘 TF 僵尸物联网黑客背后的黑客
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
图解网站分析(修订版)
[日] 小川卓 / 沈麟芸 / 人民邮电出版社 / 2014-10 / 69.00元
本书以图配文,结合实例详细讲解了如何利用从网站上获取的各种数据了解网站的运营状况,如何从数据中攫取最有用的信息,如何优化站点,创造更大的网站价值。本书适合各类网站运营人员阅读。 第1 部分介绍了进行网站分析必备的基础知识。第2 部分详细讲解了如何明确网站现状,发现并改善网站的问题。第3 部分是关于流量获取和网站内渠道优化的问题。第4 部分介绍了一些更加先进的网站分析方法,其中详细讲解了如何分......一起来看看 《图解网站分析(修订版)》 这本书的介绍吧!
