复盘人人cvnt失窃事件

hehekotete · 发表于 2019-1-21 19:52:55

本帖最后由 hehekotete 于 2019-1-22 00:00 编辑

很多人最近账号被登陆为rrxxmancxd或者rrys_001，然后发现上传流量大规模减少了。这其中猫腻在哪里呢？
相关的质疑如帖子：https://www.loc.888543.xyz/thread-516370-1-1.html

我正好在群里，相关的信息收集复盘如下：

首先这个事情最早是senra大佬在群里说，人人在linux客户端有bug（其实人人web客户端是个react打包的玩意，打开web下面的js，搜索api相关即可发现，写得真的垃圾...），具体的bug体现是：

可以通过

ip:3001/api/login?uname=xxx&passwd=xx

复制代码

对ip注入用户，然后你本身的用户会被登出，你的机器传的流量算我注入的账户，结算挖的币的时候，你会发现你的流量很少。

换句话说，我不需要登陆到你的web客户端的那个密码，（也就是说我改了默认的12345没用，其实那个密码就是react转圈的密码，是gui层面的）。
再换句话说，你的账号密码目前来看还是安全的，目前的问题是通过一个api接口调虎离山。

此外，改端口号只能起缓兵之计，扫端口并不困难，只是需要更多的资源。

该bug爆出后，最早是rrxxmancxd于2019年1月19日左右开始小规模的扫ip，本人中招一个，然后大佬给出一些解决方案，主要是iptables的屏蔽掉非指定ip的3001端口访问情况。

由于成本是比较低的，简单来说，只要写一个程序扫ip，然后通过上述的api注入即可。所以今天有人开始“海量”行动了。

今天大规模出现rrys_001对默认端口为3001的机子进行上述操作。收益颇丰，到晚上8点rrys_001已经全网偷走了11t流量。

可是这些“小偷”忘记了一个比较重要的事情，那就是你注入账号密码，在真主登陆的时候可以访问到，因此下午的时候有人登陆到rrys_001上希望找出小偷的信息，然后相关的手机和邮箱被爆出。不过很快就修改了密码和相关的手机。

截止2019年1月21日晚8点，官方对该账号仍然不作为，不封号，令人失望。

=====updated=============

账号是昨天搞的，是蓄谋要来的，手机和邮箱暴露了。群里有人人肉了相关信息。

最后这个小偷的收获是17T+ = 2400 cvnt =360

2019年1月21日晚11点，群里管理员现身说法：该账号已封。

tem · 发表于 2019-1-22 15:04:50

亲戚家孩子写的代码，大家谅解下

openos · 发表于 2019-1-22 10:06:24

不敢挖这个, 怕版权投诉

MYI · 发表于 2019-1-22 09:33:10

我看了一下代码，写的真他妈的辣鸡啊！实习生写的吧，操。

可能发完币就他妈的跑路的那种

laofanne · 发表于 2019-1-22 06:27:19

中招一台，NND，用的Docker，忘了限制只允许指定IP访问3001端口

hehekotete · 发表于 2019-1-22 00:01:28

tufu001 发表于 2019-1-21 23:13
截止2019年1月21日晚8点，官方对该账号仍然不作为，不封号，令人失望。

管理员现身说法，账号封了。

PigRinpoche · 发表于 2019-1-22 00:00:22

tomcb 发表于 2019-1-21 23:59
用着WIN客户端，暂时没中招，挂了大概1周，加上今天的大概赚了有200

你这服务牛逼

tomcb · 发表于 2019-1-21 23:59:20

用着WIN客户端，暂时没中招，挂了大概1周，加上今天的大概赚了有200

大力士 · 发表于 2019-1-21 23:43:56

System load: 0.71

大力士 · 发表于 2019-1-21 23:31:51

中招

		自动登录	找回密码
密码			注册

复盘人人cvnt失窃事件

浏览过的版块