全球主机交流论坛

标题: 复盘人人cvnt失窃事件 [打印本页]
作者: hehekotete    时间: 2019-1-21 19:52
标题: 复盘人人cvnt失窃事件
本帖最后由 hehekotete 于 2019-1-22 00:00 编辑

很多人最近账号被登陆为rrxxmancxd或者rrys_001,然后发现上传流量大规模减少了。这其中猫腻在哪里呢?
相关的质疑如帖子:https://www.loc.888543.xyz/thread-516370-1-1.html


我正好在群里,相关的信息收集复盘如下:

首先这个事情最早是senra大佬在群里说,人人在linux客户端有bug(其实人人web客户端是个react打包的玩意,打开web下面的js,搜索api相关即可发现,写得真的垃圾...),具体的bug体现是:

可以通过

  1. ip:3001/api/login?uname=xxx&passwd=xx
复制代码


对ip注入用户,然后你本身的用户会被登出,你的机器传的流量算我注入的账户,结算挖的币的时候,你会发现你的流量很少


换句话说,我不需要登陆到你的web客户端的那个密码,(也就是说我改了默认的12345没用,其实那个密码就是react转圈的密码,是gui层面的)。
再换句话说,你的账号密码目前来看还是安全的,目前的问题是通过一个api接口调虎离山。

此外,改端口号只能起缓兵之计,扫端口并不困难,只是需要更多的资源。





该bug爆出后,最早是rrxxmancxd于2019年1月19日左右开始小规模的扫ip,本人中招一个,然后大佬给出一些解决方案,主要是iptables的屏蔽掉非指定ip的3001端口访问情况。


由于成本是比较低的,简单来说,只要写一个程序扫ip,然后通过上述的api注入即可。所以今天有人开始“海量”行动了。

今天大规模出现rrys_001对默认端口为3001的机子进行上述操作。收益颇丰,到晚上8点rrys_001已经全网偷走了11t流量。





可是这些“小偷”忘记了一个比较重要的事情,那就是你注入账号密码,在真主登陆的时候可以访问到,因此下午的时候有人登陆到rrys_001上希望找出小偷的信息,然后相关的手机和邮箱被爆出。不过很快就修改了密码和相关的手机。



截止2019年1月21日晚8点,官方对该账号仍然不作为,不封号,令人失望。


=====updated=============

账号是昨天搞的,是蓄谋要来的,手机和邮箱暴露了。群里有人人肉了相关信息。








最后这个小偷的收获是17T+ = 2400 cvnt =360





2019年1月21日晚11点,群里管理员现身说法:该账号已封。



作者: riwsh    时间: 2019-1-21 19:57
话说人人影视什么鬼的都是搞擦边球的吧
现在都这么高调了?
作者: mog    时间: 2019-1-21 20:01
群里的管理也一直不愿封这个号,没个说法。很难让人相信没有猫腻
作者: Abbey    时间: 2019-1-21 20:05
人人影视的挖坑就是个笑话。下下电影还好,想靠这个赚钱还是省省吧。
话说昨天我转发了一篇文章到cvn群,就被踢出群了,这令人怀疑这个群也有这种歪腻事

Telegram 被拉进陌生的群和频道?

近期不少人遇到被人拉进陌生、广告、币圈、清真各种群

如果防止?开启权限就好了

设置→隐私和安全→群组/频道→谁可以将您添加到群组/频道?(邀请权限控制),选择:我的联系人
Settings→Privacy and Security→Groups→Who can invite you to groups and channels,选择:My contacts

群组 @YinxiangBiji
频道 @YinxiangBiji_News
作者: flcx    时间: 2019-1-21 22:02
叼毛一样的软件。。一堆bug却毫无作为。发完币捞一笔就走吧?手机看看剧还能行。剩下几个大盘鸡最近也耍不成PT,只好挂人人。一天300个币
作者: yavg    时间: 2019-1-21 22:33
我中招了
作者: irony    时间: 2019-1-21 22:42
我也中招了我发现流量不对登进去看发现了
作者: savior    时间: 2019-1-21 22:53
同中招,还好我总喜欢隔段时间点点账号看看上传增加了多少……
作者: 315038    时间: 2019-1-21 22:57
中招
作者: 三七开    时间: 2019-1-21 23:08
感觉。人人做产品的思路有点问题,,,
作者: tufu001    时间: 2019-1-21 23:13
截止2019年1月21日晚8点,官方对该账号仍然不作为,不封号,令人失望。
作者: 红领巾    时间: 2019-1-21 23:15
不改端口拿来就用也是心大
作者: hehekotete    时间: 2019-1-21 23:17
红领巾 发表于 2019-1-21 23:15
不改端口拿来就用也是心大

改了没用的哦,扫端口多吃点资源而已。
作者: 红领巾    时间: 2019-1-21 23:26
刚上tg看了一眼,是这个人吗?姓名:石林  手机号:152 4345 2320,18938938873 QQ:317861508 WB:sgsl1202  公司:北京奇域未来数码科技有限公司
作者: 大力士    时间: 2019-1-21 23:31
中招
作者: 大力士    时间: 2019-1-21 23:43
System load: 0.71
作者: tomcb    时间: 2019-1-21 23:59
用着WIN客户端,暂时没中招,挂了大概1周,加上今天的大概赚了有200
作者: PigRinpoche    时间: 2019-1-22 00:00
tomcb 发表于 2019-1-21 23:59
用着WIN客户端,暂时没中招,挂了大概1周,加上今天的大概赚了有200

你这服务牛逼
作者: hehekotete    时间: 2019-1-22 00:01
tufu001 发表于 2019-1-21 23:13
截止2019年1月21日晚8点,官方对该账号仍然不作为,不封号,令人失望。

管理员现身说法,账号封了。
作者: laofanne    时间: 2019-1-22 06:27
中招一台,NND,用的Docker,忘了限制只允许指定IP访问3001端口
作者: MYI    时间: 2019-1-22 09:33
我看了一下代码,写的 真 他 妈 的辣鸡啊!实习生写的吧,操。

可能发完 币 就他 妈   的 跑路的那种
作者: openos    时间: 2019-1-22 10:06
不敢挖这个, 怕版权投诉
作者: tem    时间: 2019-1-22 15:04
亲戚家孩子写的代码,大家谅解下



欢迎光临 全球主机交流论坛 (https://loc.888543.xyz/) Powered by Discuz! X3.4