Freedom Hosting II（以下簡(jiǎn)稱FH II）是現(xiàn)今最大的暗網(wǎng)服務(wù)提供商之一。據(jù)Mascherari.press的安全專家Sarah Jamie Lewis估算，F(xiàn)H II約為15%-20%的暗網(wǎng)網(wǎng)站提供服務(wù)。這類網(wǎng)站的域名通常為.onion且可以通過(guò)洋蔥瀏覽器（Tor Browser）訪問(wèn)。

對(duì)那些經(jīng)常混跡于暗網(wǎng)的人而言，上周末恐怕過(guò)得有些艱難。著名黑客組織“匿名者”（Anonymous）入侵了暗網(wǎng)服務(wù)商Freedom Hosting II的服務(wù)器，盜取數(shù)據(jù)并索要贖金。據(jù)統(tǒng)計(jì)，有超過(guò)10，000個(gè)網(wǎng)站受此影響，訪問(wèn)者會(huì)看到以下的警示信息：

Hello Freedom Hosting II, you have been hacked

受本次入侵影響的包括74GB的文件資料及2.3GB數(shù)據(jù)庫(kù)信息，而Anonymous索要的贖金僅為0.1比特幣（約$100）——這可能意味著他們另有圖謀，比如說(shuō)將這些信息公之于眾。雖然目前有消息表明至少有兩筆贖金已經(jīng)到賬，但Anonymous還是選擇了通過(guò)torrent向公眾開(kāi)放下載。

　　訪問(wèn)Freedom Hosting II站點(diǎn)時(shí)看到的網(wǎng)頁(yè)截圖

另?yè)?jù)Have I been pwned？發(fā)布的推特顯示，目前部分被黑數(shù)據(jù)已經(jīng)被公布到網(wǎng)站上，其中包含381，000條用戶郵箱信息。

　　天降正義

Anonymous這次出手多少源自他們對(duì)兒童色情的零容忍原則。參與此事的一名黑客在與Motherboard的訪談中提到，這其實(shí)是他本人的黑客處女秀，而且他們?cè)疽矝](méi)打算黑掉FH II——直到他們注意到至少有10個(gè)兒童色情網(wǎng)站上傳了大量的文件——幾乎占FH II托管資源的一半，他們才決定給這些人一個(gè)教訓(xùn)（FH II官方規(guī)定的網(wǎng)站容量限制在256MB，而本次涉及的色情網(wǎng)站據(jù)稱占有數(shù)GB的內(nèi)容）。

此外，他們還寫到：

“不僅如此，你們還為許多詐騙網(wǎng)站提供服務(wù)，其中明顯有一些是你們自己運(yùn)營(yíng)著來(lái)彌補(bǔ)服務(wù)器開(kāi)銷的。”

關(guān)于如何黑掉FH II，Anonymous公布了他們的步驟：通過(guò)開(kāi)設(shè)新網(wǎng)站或登錄已存在網(wǎng)站，修改配置文件并重設(shè)密碼后獲得root權(quán)限。

1. create a new site or login to an old one

2. login and set sftp password

3. login via sftp and create a symlink to /

4. disable DirectoryIndex in .htaccess

5. enable mod_autoindex in .htaccess

6. disable php engine in .htaccess

7. add text/plain type for .php files in .htaccess

8. have fun browsing files

9. find /home/fhosting

10. look at the content of the index.php file in /home/fhosting/www/

11. find configuration in /home/fhosting/www/_lbs/config.php

12. copy paste database connection details to phpmyadmin login

13. find active users with shell access in /etc/passwd

14. look through the scripts and figure out how password resets work

15. manually trigger a sftp password reset for the user ‘user’

16. connect via ssh

17. run ‘sudo -i’

18. edit ssh config in /etc/ssh/sshd_config to allow root login

19. run ‘passwd’ to set root password

20. reconnect via ssh as root

21. enjoy

余波

Anonymous的憤怒源自服務(wù)器上大量的兒童色情相關(guān)內(nèi)容，然而暗網(wǎng)上有這些卑鄙下流的東西似乎不足為奇。長(zhǎng)期以來(lái)，各國(guó)執(zhí)法部門都在嚴(yán)加留意此類內(nèi)容并予以打擊。2013年，F(xiàn)BI曾利用Firefox的一個(gè)0-day漏洞追蹤暗網(wǎng)用戶，借此調(diào)查當(dāng)時(shí)暗網(wǎng)兒童色情內(nèi)容的主要托管商——Freedom Hosting，并將負(fù)責(zé)人Eric Eoin Marques引渡美國(guó)接受審判。Freedom Hosting關(guān)閉后，F(xiàn)H II成為了最大的暗網(wǎng)服務(wù)托管商之一。

本次泄漏的數(shù)據(jù)中包含純文本郵件內(nèi)容，用戶名和哈希過(guò)的密碼。這些資料具有較高的利用價(jià)值，且已經(jīng)由黑客組織公布，未來(lái)可以期待執(zhí)法部門的介入。但隨著大量依托于FH II的兒童色情網(wǎng)站下線，F(xiàn)BI以往那種通過(guò)特定軟件識(shí)別，追蹤暗網(wǎng)用戶的辦案方式或許會(huì)受到影響，讓我們暫且靜觀事態(tài)發(fā)展。

另?yè)?jù)安全研究人員Chris Monteiro透露，本次針對(duì)FH II的攻擊可能還順帶干掉了大量僵尸網(wǎng)絡(luò)，這些僵尸網(wǎng)絡(luò)會(huì)被不法分子利用發(fā)動(dòng)大規(guī)模DDoS攻擊。

除了暗網(wǎng)用戶資料，泄漏的數(shù)據(jù)還包含眾多網(wǎng)站數(shù)據(jù)庫(kù)的備份，許多是基于WordPress和PHPBB一類自由，開(kāi)源的信息管理平臺(tái)。Lewis將本次行為評(píng)價(jià)為：“一次重大打擊”——曾經(jīng)存在的眾多個(gè)人和政治博客或論壇在短時(shí)間內(nèi)大幅減少，網(wǎng)絡(luò)多樣性受到損害，約1/5的暗網(wǎng)內(nèi)容受到波及。

*參考來(lái)源：softpedia，securityaffairs，F(xiàn)B小編cxt編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM