从000webhost空间被黑谈使用免费空间的自我保护
000webhost空间被黑的信息,最先是通过朋友在博客留言告诉我的,当时第一个反应就是不敢相信。接着有看到FreeBuf和v2ex关于000webhost空间被拖库的新闻,基本上可以确定000webhost空间被黑的事实了。现在000webhost官方在FB主页和官网中都已经证实此事。
作为空间商都有可能被黑客的盯上的可能,但是000webhost空间被黑事情让我感觉到震惊的原因就是:000webhost空间的1350万明文密码泄露,用户泄露的信息包括用户名、明文密码、邮箱地址、IP地址、用户真实的姓氏,意味着如果之前有在000webhost空间注册过账号的都可能被泄露了。
前一段时间网易邮箱被爆出“问题”,部落根本没有放在心上,因为我现在用的邮箱都是Gmail,以Google的能力在保护数据安全方面还是挺让人放心的。但是000webhost空间被爆出问题,就让我非常担心了,因为我的建站之旅就是从000webhost开始的。
博客写的第一篇文章就是关于000webhost内容的,因为当时建站时还是学生,没有多余的钱购买付费的空间,加上当时000webhost空间已经在免费空间“圈子”中做出了“名气”,于是就将部落搭建在000webhost空间上。注册账号都是用了自己的常用邮箱、用户名和密码等。
000webhost空间的1350万明文密码泄露,对于我们这些曾经用过它的空间的人来说是非常可怕的,有一个热心朋友在我的博客留言说觉得有必要提醒一下大家。确实如此,很多站长都是从免费空间中走过来的,如果你现在用的域名和空间的邮箱都是和000webhost空间一样的,那么强烈建议你赶紧修改!
保护域名和主机安全-从000webhost空间被黑谈使用免费空间的自我保护
一、000webhost空间被黑事件
1、000webhost空间是免费空间中的做得很有名气的一家,很多人都申请过000webhost,包括部落自己不止一次介绍过000webhost空间的申请和使用方法:成功申请000webhost免费php空间、000webhost老牌免费空间变化的观察。
2、000webhost空间目前已强制重置了所有用户的密码并且禁用了FTP(As all the passwords have been changed to random values),打开官网现在也能看到官方的提示:“We have witnessed a database breach on our main server”。
3、点击[Read More]可以看到官方对此次事件的说明。
4、以下是官方说明的英文原文。
What happened? (000webhost hacked)
A hacker used an exploit in an old PHP version, that we were using on 000webhost website, in order to gain access to our systems. Data that has been stolen includes usernames, passwords, email addresses, IP addresses and names.
Although the whole database has been compromised, we are mostly concerned about the 000webhost leaked client information.
What did we do about it?
We have been aware of this issue since 27th of October and our team started to troubleshoot and resolve this issue the same day, immediately after becoming aware of this issue.
In an effort to protect our users we have temporarily blocked access to systems affected by this security flaw. We will re-enable access to the affected systems after an investigation and once all security issues have been resolved. Affected systems include our website and our members area. Additionally we have temporarily blocked FTP access, as FTP passwords have been dumped as well.
We reseted all users passwords in our systems and increased the level of encryption to prevent such issues in the future.
We are still working around the clock to identify and eliminate all security flaws. We will get back to providing the free service soon. We are also updating and patching our systems.
What do you need to do?
As all the passwords have been changed to random values, you now need to reset them when the service goes live again.
DO NOT USE YOUR PREVIOUS PASSWORD.
PLEASE ALSO CHANGE YOUR PASSWORDS IF YOU USED THE SAME PASSWORD FOR OTHER SERVICES.
We also recommend that you use Two Factor Authentication (TFA) and a different password for every service whenever possible. We can recommend the Authy authenticator app and the LastPass password manager.
We are sorry
At 000webhost we are committed to protect user information and our systems. We are sorry and sincerely apologize we didn't manage to live up to that.
At 000webhost our top priority remains the same - to provide free quality web hosting for everyone. The 000webhost community is a big family, exploring and using the possibilities of the internet together.
Our leadership team will closely monitor this issue and will do everything possible to earn your trust every day.
Sincerely,
000webhost CEO,
Arnas Stuopelis
5、现在000webhost空间已经关闭了新用户注册,开放注册时间未知。
二、保护注册邮箱账号的安全
1、000webhost空间被黑,并且被传出用户密码明文数据库泄露,我的第一反应就是我曾经在000webhost空间上用过了Gmail邮箱可能被泄露了。由于我这几年来在网上注册和使用都是使用该Gmail邮箱,密码一旦被泄露将是危害是巨大的。
2、最近收到了Gmail的“有人知道了您的密码”的安全提醒邮件:“刚才有人尝试使用您的密码登录您的 Google 帐户 (xxxx@gmail.com)(使用的是移动设备,或电子邮件客户端之类的应用)。”实在是让人忧心。
2、保护注册邮箱的安全是非常重要的,如果你使用的是国内的邮箱,那么就更应该提高安全警惕了。近期网易邮箱被爆出“安全问题”,如果有用163邮箱、126邮箱的朋友赶紧去修改一下密码吧。
3、如果是使用的国外的Gmail邮箱,那么可以尝试使用账号的两步验证,每次登录邮箱账号时都需要手机或者移动客户端再次确认,这样对于提高邮箱的安全性是非常有帮助的。
4、如果是使用其它的邮箱,建议养成定期检测邮箱登录情况、修改邮箱密码等习惯,以保证邮箱数据的安全。
三、保护付费主机和域名的安全
1、保护了邮箱的安全就是守住了第一道防线,但是很多人可能喜欢在不同的网站注册使用同一个邮箱和密码,虽然邮箱没有被盗,但是“有心者”依然可以通过关联,尝试破解用户在其它的网站的账号。这就是现在流行的“撞库攻击”,近些年来几次大规模的用户数据泄露就与此有关。
2、此次000webhost空间数据库泄露之所以要引起大家的重视,是因为它很可能导致大家现在使用的一些付费域名和主机的安全性。例如SourceForge空间可任意查看服务器文件导致我的密码泄露事件,就是因为这位朋友的Godaddy账户使用了与SourceForge空间一样的账号密码才被盗走。
3、所以,如果你的Godaddy、Name.com、Namecheap、阿里云等使用了与000webhost空间一样的账号和密码,那么强烈建议看到此文后立即修改,以免给自己造成不必要的损失。防止域名被盗你还需要做的是:增强域名注册账户和DNS管理账户安全-防止域名被盗和域名恶意解析。
4、对于主机,如果你使用的是VPS主机,保护Root账号的安全和防止端口扫描攻击就显得比较重要了。无管理型的VPS主机因为主机商在防护方面做得不够多,提高服务器安全性的工作基本上全部压在了个人站长身上了:Linux VPS主机安全-禁止Root登录,SSH密钥授权,Fail2ban,DDoS deflate。
5、对于Wordpress博客,我们可以从Wordpress程序本身来加强安全,例如:多重CDN和Better WP Security强化安全,还有 Google Authenticator登录验证和All In One WP Security & Firewall防火墙,这些都可以在一定程度上防止Wordpress的账号和密码被泄露。
四、使用免费空间自我保护五项原则
1、第一项原则:邮箱和密码请单独设置。从000webhost空间被黑事件可以看出我们在使用免费空间时也是需要注意自我保护的,如果给免费空间设置一个专用邮箱和密码,这样即便空间商的数据被泄露,我们依然可以“独善其身”。
2、第二项原则:不要透露真实个人信息。在注册使用免费空间时经常要求填写个人的基本信息,如果直接完全填写个人的真实信息的话很容易就主动把自己给“曝光”了。所以在申请免费空间除非特别注明,否则我们可以小小隐藏一下。
3、第三项原则:不要使用真实的信用卡。现在不少的免费空间为了防止用户滥用,都要求用户填写自己的真实信用卡信息,验证通过后才能使用。对于这类免费空间要慎之又慎,除非是值得依赖的例如亚马逊VPS、谷歌云主机、Linode等,其它的一概不要。
4、第四项原则:不要降低网站备份频率。使用免费空间首先要养成网站备份的习惯,经常有听到朋友因为没有备份数据,空间商又因为各种原因把用户的数据给清空了,辛苦一年的时间和心血写成的博客文章就这样一夜消失殆尽,悔恨不已。建议网站备份的频率最少为一周1次,有条件的可以一天1次。
5、第五项原则:不要相信永久免费口号。互联网免费的产品有很多,但是敢“宣称”永久免费的也有不少,君不知,这些产品短则几天,长则几年就彻底消失,只留给那些一味去寻找永久免费的用户更多的痛苦。所以,没有永久免费的空间,免费也可能要付出更加沉重的代价。