臭名昭著的 LizardSquad 黑客团队自家的按需 DDos 攻击网站 LizardStresser 被人黑入,黑客泄露了这家网站许多机密资料。从这家按需 DDoS 攻击网站泄露的数据库来看,这家网站通过收取现金或者比特币来对目标进行分布式拒绝服务(DDoS)攻击。可以明确地说,这个网站服务的对象绝大部分底子都不干净。为了弄清楚到底是谁在用付费 DDoS 攻击,用来干什么,国外媒体 ArsTechnica 对这个数据库进行了分析。LizardSquad 黑客团队旗下付费 DDoS 攻击网站 LizardStresser.
无论是之前被曝光的的 Booter 网站或者是 LizardSquad 旗下站 LizardStresser,都提供付费 DDoS 攻击某一目标的服务,而且这些网站都会将攻击伪装成合法的载入测试来进行攻击。LizardStresser 是由最近非常出名的黑客团队 LizardSquad 创办的。这个黑客组织在去年的圣诞节期间利用 DDoS 攻击了微软的 Xbox Live 和索尼的 PSN 网络,令许多玩家很长时间无法正常娱乐,这也成为 LizardSquad 宣传自家 DDoS 服务的广告。
从那之后,LizardStresser 的服务中就有很大一部分是用在攻击游戏玩家上。虽然说消费者发起的 DDoS 攻击中,有很大一部分都是针对 Web 服务器的,也有很大一部分是针对个人或者小型社区游戏服务器的,比如 Minecraft 的服务器。
然而,自从 LizardStresser 上线以来,进展也并非一帆风顺。自从 LizardStresser 之后,他们开始利用家用路由器和企业用路由器的漏洞来提供攻击服务,随后不少组织成员遭到警方拘捕。上周,LizardStresser 的服务也被人黑入,他们的数据库被人扒出放在了 Mega 的网盘里。
所有人都可以随意下载,LizardStresser 客户的用户名和密码,包括网络地址的日志统统曝光。不管你们相不相信,LizardSquad 用《千禧年数字版权法》来强制 Mega 网盘将文件下线。然而,早就已经有很多人下载好了数据库文件,现在这些用户的数据都可以被人查看,也算是遭到了一定的攻击。
另外一个潜在的问题就是混乱的用户 IP 地址。为了防止用户将账号分享给其他人使用,LizardStresser 会检查账号当前 IP 地址是否与注册时的 IP 地址一致。但是只要稍微懂点密码知识,就可以破解这些 MD5 hash 加密的 IP 地址。通过解密,我们看到 LizardStresser 在过去的一个月里提供了数千次 DDoS 攻击。
趟浑水
LizardStresser 网站上有接近 13000 名注册用户,其中只有 250 名用户付费使用 DDoS 攻击服务。大部分付费用户只发起了低于 20 次的短期攻击,只有 30 名用户发起的攻击次数超过 100 次。LizardStresser 的服务也不友善,从日志来看,绝大多数用户不知道怎么操作,不会购买,更别说售后。
在日志中,最常出现的信息就是“遇到了权证问题”,“这是一条从权证系统自动发送的消息,因为你明显没有阅读 FAQ,所以我们停用了你的权证,请仔细阅读后开新权证,此消息将不会再显示。(This is an automated response from our ticket system to say that we have closed your ticket without response as you obviously haven't read the FAQ, in the future please read it before opening a ticket and this will not happen again.)”
还有一条用户留下的消息:
各位 Lizard 团队的成员你们好。
我在 Twitter 上听说你们的攻击肉鸡都是一些被黑入的路由器。于是我有一个想法,我在不久的将来计划用我自己的恶意软件来感染数千用户。我知道一两千人可能不能增加多少力量,但是我是否能帮你们感染一些人呢?你或许在怀疑为什么我愿意帮你们?好吧……我个人很喜欢看热闹,我计划以后一直干下去,所以为什么不帮一下我的 DDoS 服务提供商呢。
等你回信,谢谢。
LizardSquad 黑客团队的回复:
你是弱智吗,如果我们想要肉鸡真的需要用你来帮我们吗?我们自己就能搞定的事情,为什么还要你来参与?
Minecraft 也未幸免
LizardStresser 发起的攻击基本上都没有针对大型网站。绝大多数 Web 攻击都是针对小型主机服务器的,然而我们发现其中大部分又在 CloudFlare 保护之下。有一名用户通过 LizardStresser 的服务对旧金山的一家小型主机进行了 1468 次攻击。
这个用户一共攻击了 20 个网站,是 LizardStresser 最忠实的用户,占了 LizardStresser 所有攻击服务量的 1/5。但是讽刺的是,他的用户名是 ryanbrogan,这是美国 FBI 负责网络犯罪的探员的名字。Brogan 曾经参与 2013 年 Linode 主机被网络攻击的调查。
经过我们的统计,LizardStresser 自从创办,一共进行了 16000 次 DDoS 攻击,目标为 3900 个 IP 地址。其中 67% 的受攻击对象为 Web 服务器(绝大多数为 HTTP 的 80 和 8080 端口攻击,以及少量 HTTPS 的 443 端口攻击)。位列第二的就是针对 Minecraft 服务器的攻击,占据总攻击数量的 7%。排名第三的是针对“共享域名账号服务”Plesk 控制面板的攻击,占 5.5%。LizardStresser 的客户也曾尝试攻击 DNS 和文件传输协议服务。
ArsTechnica 的记者跟那一家遭到 1468 次攻击的服务器公司联系后,他们表示:“我们一直受到攻击”,不过上个月也没有什么特别值得注意的 DDoS 攻击。