复盘人人cvnt失窃事件
本帖最后由 hehekotete 于 2019-1-22 00:00 编辑很多人最近账号被登陆为rrxxmancxd或者rrys_001,然后发现上传流量大规模减少了。这其中猫腻在哪里呢?
相关的质疑如帖子:https://www.hostloc.com/thread-516370-1-1.html
我正好在群里,相关的信息收集复盘如下:
首先这个事情最早是senra大佬在群里说,人人在linux客户端有bug(其实人人web客户端是个react打包的玩意,打开web下面的js,搜索api相关即可发现,写得真的垃圾...),具体的bug体现是:
可以通过
[*]ip:3001/api/login?uname=xxx&passwd=xx复制代码
对ip注入用户,然后你本身的用户会被登出,你的机器传的流量算我注入的账户,结算挖的币的时候,你会发现你的流量很少。
换句话说,我不需要登陆到你的web客户端的那个密码,(也就是说我改了默认的12345没用,其实那个密码就是react转圈的密码,是gui层面的)。
再换句话说,你的账号密码目前来看还是安全的,目前的问题是通过一个api接口调虎离山。
此外,改端口号只能起缓兵之计,扫端口并不困难,只是需要更多的资源。
该bug爆出后,最早是rrxxmancxd于2019年1月19日左右开始小规模的扫ip,本人中招一个,然后大佬给出一些解决方案,主要是iptables的屏蔽掉非指定ip的3001端口访问情况。
由于成本是比较低的,简单来说,只要写一个程序扫ip,然后通过上述的api注入即可。所以今天有人开始“海量”行动了。
今天大规模出现rrys_001对默认端口为3001的机子进行上述操作。收益颇丰,到晚上8点rrys_001已经全网偷走了11t流量。
可是这些“小偷”忘记了一个比较重要的事情,那就是你注入账号密码,在真主登陆的时候可以访问到,因此下午的时候有人登陆到rrys_001上希望找出小偷的信息,然后相关的手机和邮箱被爆出。不过很快就修改了密码和相关的手机。
截止2019年1月21日晚8点,官方对该账号仍然不作为,不封号,令人失望。
=====updated=============
账号是昨天搞的,是蓄谋要来的,手机和邮箱暴露了。群里有人人肉了相关信息。
最后这个小偷的收获是17T+ = 2400 cvnt =360
2019年1月21日晚11点,群里管理员现身说法:该账号已封。
话说人人影视什么鬼的都是搞擦边球的吧
现在都这么高调了? 群里的管理也一直不愿封这个号,没个说法。很难让人相信没有猫腻 人人影视的挖坑就是个笑话。下下电影还好,想靠这个赚钱还是省省吧。
话说昨天我转发了一篇文章到cvn群,就被踢出群了,这令人怀疑这个群也有这种歪腻事
" 叼毛一样的软件。。一堆bug却毫无作为。发完币捞一笔就走吧?手机看看剧还能行。剩下几个大盘鸡最近也耍不成PT,只好挂人人。一天300个币 我中招了 我也中招了我发现流量不对登进去看发现了
lol.gif
同中招,还好我总喜欢隔段时间点点账号看看上传增加了多少…… 中招 感觉。人人做产品的思路有点问题,,,截止2019年1月21日晚8点,官方对该账号仍然不作为,不封号,令人失望。