<small id='yMD7EPBJ'></small> <noframes id='XpMyF9Kcn8'>

  • <tfoot id='TeyUsG8r'></tfoot>

      <legend id='lwyhKo'><style id='oGDd9HSj'><dir id='qenc'><q id='SHijcE61o'></q></dir></style></legend>
      <i id='8QJ3kF'><tr id='VkKzgb3Gd'><dt id='UwENcR7SlC'><q id='8RBO'><span id='mYUD4Hu'><b id='CY6qGS'><form id='Gghf'><ins id='2YGRj'></ins><ul id='HnTsL'></ul><sub id='Qe8IBw'></sub></form><legend id='Nai4R2d'></legend><bdo id='qpfatgXyr'><pre id='HJypZ3AG'><center id='RFy4'></center></pre></bdo></b><th id='G9oHr'></th></span></q></dt></tr></i><div id='ZntIsNG8w'><tfoot id='rE0RUaVO'></tfoot><dl id='4SvNBAd6s'><fieldset id='dIYxHT9'></fieldset></dl></div>

          <bdo id='iszpu'></bdo><ul id='Jsntuvhc'></ul>

          1. <li id='oACqh'></li>
            登陆

            GitHub被黑客要挟 这次又是遭DDoS进犯?

            admin 2019-05-10 231人围观 ,发现0个评论

              5月3日,当我国程序员正愉快地过五一节时,国外程序员忽然发现自己GitHub上的代码不知去向!自己的GitHub一秒变成悬疑片现场,不只被黑客进犯删代码了,放肆的黑客还留下一封勒索信:

              假如你要康复丢掉的代码和防止咱们走漏代码:需求先付出0.1个比特币(约3838元)到这个地址:1ES14C7QLB5cyhlmuektxlgc1f2v2ti9da,再将Git登录名和付出证明发送到这个邮箱里admin@gitsbackup.com。

              假如你不相信咱们是否真的有你的数据,咱们能够向你发送依据。你的代码咱们已下载并备份到服务器上。

              假如咱们在10天内没有收到钱,咱们将揭露你的代码或乱运用它们。

              不只是GitHub被黑客进犯,据ZDNet报导,还有Bitbucket、GitLab也遭受相同的进犯。

              这究竟是发作了什么事呢?

              黑客进犯勒索的惊魂记

              一程序员在Reddit发帖叙述其遭受黑客进犯被勒索的进程:当他修正一个Bug正要用SourceTree提交,当点击提交按钮时,电脑死机了。由于他的电脑经常会死机,所以他一开端没有察觉到反常。可当他重启动电脑后,SourceTree溃散了,并提示重新安装。重新安装后,他又发现一个问题:Git索引文件损坏了!所以他在网上找了个简略的指令来修正程序。他先是删去了索引,然后点击重置。

              然后他发现他落后了超3200个Commits!这时他这才停下来看看自己最近提交的内容,代码全没了!整个项目仅剩下一个上述勒索信的文件!他还看了下Bitbucket,一切的长途分支都不见了!

              这不只是单个用户,到发稿,在GitHub查找比特币地址,还有326个被黑的项目。

              又是DDoS进犯?

              这不是第一次GitHub遭受黑客进犯了:

              2018年2月28日,GitHub遭到峰值进犯流量高达 1.35Tbps的DDoS进犯,导致官网在一小段时间内无法访问。

              2015年3月28日,GitHub阅历了史上最大规划的DDoS进犯,接连两天运用“一种杂乱的新技能来绑架无关用户的浏览器对咱们的网站主张许多流量”。

              莫非这次又双叒叕是黑客DDoS进犯?

              不,这次竟是程序员缺少根本的安全认识形成的:明文存储暗码。

              据GitLab安全总监Kathy Wang回应道,“咱们依据Stefan Gabos昨日GitHub被黑客要挟 这次又是遭DDoS进犯?提交的赎金票确认了信息来历,并当即开端查询该问题。咱们现已确认了受影响的用户帐户,并告诉到这些用户。依据查询发现,咱们有强有力的依据标明,被走漏的帐户在布置相关存储库时,其帐户暗码是以明文方法来存储。咱们强烈主张运用暗码办理工具以更安全的方法存储暗码,而且有条件的话,启用双要素身份验证,这两种方法都能够防止此问题发作。”

              走运的是,依据StackExchange安全论坛的成员发现,黑客实践上并没有删去源码,可是改变了Git的head,这意味着在某些情况下能够康复代码提交。

              许多程序员对黑客的行为表明不满,齐齐去黑客留下的比特币收货地址告发,现在该地址已收到34个告发:

              先别给钱,有免费救命好方法

              那么面临被黑客“端了老窝”的程序员,只能双手奉上赎金吗?

              不,开发者社区的大V主张受害者在付出赎金之前先联络GitHub、GitLab或Bitbucket,由于他们可能有其他方法能够协助你康复已删去的代码。

              一位“遭殃”的开发者先运用指令git reflog瞅了瞅,能看到他自己一切的提交,所以他猜想黑客很可能没有克隆存储库。

              接着他给出测验自救的过程:

              1。看到黑客的提交:

              git checkout origin/master

              2。看到自己的一切文件:

              git checkout master

              3。将修正origin/master:

              git checkout origin/master

              git reflog # take the SHA of the lGitHub被黑客要挟 这次又是遭DDoS进犯?ast commit of yours

              git reset [SHA]

              4。可是检查代GitHub被黑客要挟 这次又是遭DDoS进犯?码状况时:

              git status

              会发现:

              HEAD detached from origin/master

              所以还得想其他方法修正。

              接着他还说到,假如你本地有代码备份的话,直接用就能修正:

              git push origin HEAD:master --force

              因弱暗码被“祭天”的程序员

              据查询,仅在 2018 董成鹏老婆张文露年的500 多万个走漏暗码显现,有近 3% 的人运用“123456”作为暗码。

              参加咱们程序员在企业项目开发里,运用这种弱暗码会有什么损害呢?

              2018年8月,华住酒店集团数据库选用简略的账户名和暗码:root/123456,含达五亿条用户的详细信息的数据库遭到走漏。

              在互联网年代,作为开发者尤为具有安全开端的认识。在日常开发中,咱们该如何做呢?

              能够参照5 天 GitHub被黑客要挟 这次又是遭DDoS进犯?6 亿 3000 万数据走漏一文的计划:

              在架构和研制进程中要合作安全团队或归纳考虑信息安全办理要素;

              在实践开发进程中要避开常见安全问题,如上传 Github、SQL 注入、恣意指令履行、缓冲区溢出、水平越权、日志灵敏信息记载、灵敏文件恣意寄存等问题。

              在数据走漏事情发作时,开发者应发挥本身的技能和事务优势,活跃合作安全团队、法务团队对事情溯源中所涉及到的事务场景和数据依据,提取固化供给支撑,在许多数据走漏事情溯源中开发者都是最有利的技能支撑,比方数据流程整理、要害日志提取等。

              开发者在合作进程中需求严厉留意,防止损坏数据完整性。

            (文章来历:AI科技大本营)

            (责任编辑:DF513)

            请关注微信公众号
            微信二维码
            不容错过
            Powered By Z-BlogPHP