傳說中很黃很暴力的暗網，被黑客滅掉了一半……

本文轉載自：淺黑科技

前幾日在朋友圈看到一則消息：「暗網最大託管商被黑客攻擊，6500+網站被刪」，遂找了一位安全技術大佬聊了聊，給大家分享一下這個「黑吃黑」的小故事。

1

北京時間 2018年11月16日早上9點，安全工程師小楊開機沒兩分鐘就發現不太對勁：

「暗網雷達」顯示，暗網的網站存活數從一萬兩千多猛降到八千多，只用了一天。

暗網雷達是404實驗室研發的一款黑客工具，它時刻監測暗網的動向，本意是幫助人們搜尋來自暗網的「威脅情報」，因為暗網上常常曝出一些數據泄露和黑客入侵的消息。但這次，它監測了到更大的情況。

「一夜之間， 接近3000個暗網網站都掛了？」 小楊不敢相信自己的眼睛。畢竟，那可是暗網。

暗網上有毒品、有槍支、有色情交易，它是很多人眼裡的「法外之地」，因為暗網上的用戶都是匿名。

訪問者通常利用一個叫 Tor 的技術，經過層層跳轉來到暗網。就像警匪電影里那樣，經過一道道馬仔傳話才能找到毒品交易現場。

（Tor 的基本原理示意圖，大致感受一下就好）

Tor 的中文名是「洋蔥路由」（The onion router），在洋蔥皮一般的層層身份掩護下，人們為所欲為。

據說，暗網中經常出現令人不適的內容，就連在搜索引擎里輸入「暗網」兩個字，也會蹦出令人不舒服的字眼：

（從女孩的貼身原味內衣絲襪，到攝像頭信息、假幣、再到快遞身份證……各種東西應有盡有，但所有交易信息都不辨真偽，畢竟在這樣一個黑暗叢林，黑吃黑的事隨時可能發生。圖片來自淺黑科技微博）

國際警察、美國的 FBI（美國聯邦調查局）等機構曾經多次對暗網的網站進行打擊，搗毀了不少網站，也抓了一些人，可這些網站依然此消彼長，總有人鋌而走險，惡向膽邊生。

「怎麼會一夜之間就關閉了兩三千個網站？」 起初小楊以為是暗網雷達監測出錯，他趕緊告訴實驗室負責人，排查一切可能存在的故障。

到了晚上，到了第二天，故障沒發現一個，「消失的網站」倒是越來越多。

根據「暗網雷達」11月19日的數據顯示：原本一萬二左右個暗網存活網站已經陣亡到只剩5478個，剩下的似乎也生死未卜，整個暗網感覺快變成「薛定諤的暗網」。

（暗網雷達截圖，由知道創宇404實驗室提供）

究竟發生了什麼？

小楊忽然想起去年暗網發生的一件大事。

2

暗網網站一夜消失的情況並未首次發生。

去年（2017年）2月份前後就發生過一次。當時暗網網站一夜之間消失了一萬多個，大約佔當時整個暗網的五分之一。

當時，暗網最大的服務託管商 Freedom Hosting II （FH2）遭黑客攻擊，幾萬個跑在他們伺服器上的網站直接被一鍋端。一個匿名黑客在被黑掉的託管商的主頁上放了一封信，聲稱對攻擊負責。

原來，黑客一開始並沒打算幹掉 FH2，他們只是搞到了數據讀取許可權。

但是，他們在上面發現很多成人動作片網站，以及很多……兒童色情網站，主頁上掛出的圖片不堪入目。（很多國家對兒童色情都是零容忍態度）

「發車也罷，可這是校車啊！」，而且我們還發現管理員收了託管費，所以他顯然知道這事兒。」

一怒之下，匿名黑客這才決定擦擦鍵盤，刪庫跑路。 至此，一萬多個暗網網站被幹掉。

有人懷疑那次行動是知名黑客組織「匿名者」（Anonymous）乾的，他們曾做過許多正義的事，比如黑進 ISIS 恐怖組織之類的。

也有人說不是，畢竟所有匿名的黑客都可以甩鍋給「匿名者」。

（傳說中「匿名者」黑客組織的標誌）

但不管是誰，那次行動對整個暗網產生了很深遠的影響。

或許是出於對「匿名者」的忌憚，暗網的不少其他網站也在紛紛關閉。2017年3月份有機構統計，整個暗網四千多個存活的網站節點，跟「鼎盛」時期相比，已經減少了85%。

這次又是「匿名者」黑客出手了？也未必，興許是 FBI 或者國際警察乾的。

FBI 就常年盯著暗網，據說早在2013年他們就曾控制過暗網最大託管商 Freedom Hosting 的伺服器，收集信息起訴了瀏覽兒童色情的暗網用戶。（居然抓的人看片而不是賣片的，看來真是「沒有買賣就沒有殺害」，打擊兒童色情從我做起……）

荷蘭、德國、英國等十幾個國家地區的執法機構也經常在暗網搞出一些大事。比如 2016 年的「刺刀行動」中，他們直接抓到了暗網最大的非法交易網站 Hansa 的管理員，控制了網站許可權。

但那次警方並沒有直接端掉網站，而是直接接管了個網站，在上面繼續提供交易平台。最終釣出一百多個毒販，掌握了42萬個暗網網站註冊用戶的資料，追查到一萬多個人的家庭住址。

那次行動也是搞得犯罪分子們人心惶惶，整個暗網活躍度一下子降低了不少。

這次是警察又出動了嗎？

到了18號，小楊去國外新聞網站一查，發現有一條熱乎的黑客新聞：

原來是黑客乾的。

他們順著新聞找到被黑掉的暗網託管商Daniel』s Hosting，發現網站主頁上貼著一則公告。

不過，內容貌似不是「匿名者」留的，而是被黑的站長Daniel自己寫的。

根據描述，國際時間11月15日晚上10點左右，黑客不知用了什麼方法秘密登錄了伺服器主機，刪除了所有賬戶，包括可以注入資料庫的 「root」 許可權賬號。

凌晨 0:50，伺服器上的所有聊天記錄、鏈接列表……所有資料庫挨個消失。

當被黑的站長試圖查看系統日誌，找出黑客利用的漏洞和攻擊手段，發現黑客早在刪庫跑路之前，就把系統日誌給改寫得稀巴爛。

儘管如此，他懷疑黑客利用一個PHP 遠程命令執行漏洞繞過了一些安全限制，因為這個漏洞剛好就在黑客入侵的前一天才被公開（一般這類漏洞被稱之為 0day漏洞），被黑掉的伺服器主機正好落在這個漏洞的「射程範圍」之內。

由於數據沒備份，所以被刪除的所有數據都無法恢復，它們將永遠消失在這個世界……

為了今後防止重蹈覆轍，託管商 Daniel 決定公布了一部分和此次遭遇入侵相關的代碼在 Github 上，供所有人審查安全問題。

究竟是誰幹的？是某個正義的黑客組織？還是執法部門？或者……是託管商的競爭對手？

到現在也沒人知道，或許它將成為一個永遠的秘密。

儘管如此，這次黑客行動顯然還是有意義的。

就像之前每一次打擊那樣，無論是黑客還是執法部門，每次打擊過後，暗網網站數量和活躍用戶數都會下降。因為它讓肆無忌憚的人開始心虛，開始沒有安全感。

一次次打擊暗網的黑客行動，不斷警示著他們：「哪有什麼法外之地，即便在光亮照不進的地方，也有黑客收拾你。」

3

故事已經講完。事後，我和知道創宇404實驗室的副總監隋剛簡單八卦了這件事，在此分享給大家作為信息補充，以下是我們的聊天記錄。

謝幺：這次暗網6000多個網站被刪，你覺得問題出在哪兒？

隋剛：暗網搭建伺服器已經成為一種套路化的操作，有不少人專門幫別人提供伺服器搭建暗網網站，這次被黑的和去年的過程類似。

既然是套路化搭網站，那麼一旦套路里的軟體體系出現漏洞，所有用這套方法搭建的網站伺服器就都會受到影響，所以一次性影響到很多網站。

這次黑客可能用的是一個PHP 遠程命令執行的漏洞，拿到許可權以後登錄了資料庫，具體漏洞分析就不講了。

謝幺：「單從技術上來講，這次黑掉暗網是什麼水平？算小意思、中等意思、還是大意思？」

隋剛：從漏洞PoC（漏洞利用方法的驗證程序）公布的時間點上來推斷，需要的技術水平並不高，主要是打了個時間差，趕在暗網託管商修復漏洞之前攻擊。但黑客能快速批量刪掉 6000 多個網站，還是做了一些工作的，不然光是手動刪都需要一段時間。

謝幺：「暗網雷達」是用什麼原理監測到數據變化的？

隋剛：暗網雷達屬於被動監測。簡單來說就是用爬蟲對整個暗網進行爬取，相當於每天派無數個機器人去地下黑市探風。由於整個暗網的規模並不大，所以這種爬取的頻率很高，數據更新比較及時。

謝幺：暗網規模不大？以前不是常常流傳一個說法「暗網比互聯網大很多倍」，還有人用冰山的圖片來表示暗網，所以實際並不是這樣的？

隋剛：那個說法其實有點危言聳聽，人們習慣把神秘的東西給神化。實際暗網的網站數量並不太多，尤其是近幾年數量下降了不少，活躍用戶也降低了不少。但即便如此，目前上面依然全是各種違法交易和內容，所以仍然需要保持監測。

謝幺：為暗網提供搭建服務違法嗎？為什麼他們沒有被抓？

隋剛：既然是暗網下的，從「明網」的角度來看，肯定是違法的，因為基本上這些伺服器提供的服務都是違法的（黃賭毒、槍支等），但由於整個網路是匿名的，所以不是很好抓。

但實際抓沒抓，我也不太清楚，從技術角度上來看，難度雖大，但還是有可能抓到的，畢竟全世界各種執法機構、安全公司都盯著。

謝幺：「從你的個人主觀感受來看，你覺得這次事情出了之後，暗網會朝著怎樣的方向發展？」

隋剛：這次被刪庫的 Daniel"s Hosting 如果只是負責暗網的託管，從規模上來說應該不大。只要那些違法交易的需求和利益還在，託管商就會嘗試恢復，重新搭建，當然也可能有別的暗網服務商來做。

從技術角度看，未來如果暗網需要長期持續存在，暗網的搭建者也會升級，很可能出現不同的的開發體系的服務端，防止像這樣被一鍋端。關於暗網的攻防也會一直進行下去……

喜歡這個黑客故事就點個贊吧！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！