用户
搜索
  • TA的每日心情
    开心
    2018-3-9 20:32
  • 签到天数: 22 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    52

    主题

    89

    帖子

    714

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2015-11-20

    i春秋签约作者

    发表于 2017-5-5 11:23:19 1619550

    前段时间闹得沸沸扬扬的网易52G邮箱泄漏门,安天365团队对其进行跟踪,第一时间通过网络搜索并获取了样本,网上展示的是52G数据,如图1所示。通过在线还原对泄露的帐号进行统计、追踪和还原。

    图片1.png
    图1网上传泄露52G数据库

    2.获取样本数据

      我们仅仅获取了163com.zip以及163mail4.zip-163mail8.zip,通过迅雷下载器显示真实文件大小为26.71GB,如图2所示。

    图片2.png
    图2获取样本数据

    3.查看样本数据

        将下载的文件进行解压,通过Notepad软件直接随机打开一个txt文件,如图3所示,文件中主要包含邮箱帐号和密码信息。

    图片3.png
    图3查看文件内容

    4.数据库还原
    (1)创建数据库163com
    (2)创建表
    分别创建163com、163mail4-163mail8表,执行以下查询语句即可。
    [AppleScript] 纯文本查看 复制代码
    CREATE TABLE `163mail4` (
      `username` varchar(50) default '',
      `password` varchar(50) default ''
    ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
    (3)将txt文件导入mysql数据库
    在Mysql提示符下分别执行:
    [AppleScript] 纯文本查看 复制代码
    use 163com
    LOAD DATA INFILE 'D:/迅雷下载/52G葫芦娃/163mail7/163邮箱7-01.txt' INTO TABLE 163mail7     CHARACTER SET utf8 FIELDS TERMINATED BY '----';
    LOAD DATA INFILE 'D:/迅雷下载/52G葫芦娃/163mail7/163邮箱7-02.txt' INTO TABLE 163mail7     CHARACTER SET utf8 FIELDS TERMINATED BY '----';

       如图4所示,执行完毕后会显示记录数(Records)、删除数、忽略数以及警告数,这些信息无关紧要。
    图片4.png
    图4导入数据

    技巧:

      (1)可以使用记事本将所有的需要导入的文件形成批处理脚本,如图5所示,需要注意的是,每一次导入的数据时,需要对红色字体进行更改,使其跟所在文件、数据库相对应。
    LOAD DATA INFILE 'D:/迅雷下载/52G葫芦娃/163mail7/163邮箱7-01.txt' INTO TABLE 163mail7     CHARACTER SET utf8 FIELDS TERMINATED BY '----';
    (2)处理数据中记录之间的分隔符号为“----”,“SET utf8”表示文件编码为utf8,如果是gbk编码则需要换成gbk。
    (3)在实际还原时笔者使用了多种方式导入,包括Navicat for MySQL的自动导入,Navicat导入文本时会发生导入数据跟实际导入数据误差较大。
    图片5.png
    图5批量导入数据到数据库
    5.数据统计
       对每一个表中的数据进行统计,如下表所示,163com、163mail1、163mail2和163mail4整合在表163com中,其它分别导入其对于的表,其数据累加共计7.3亿,里面有重复数据。

    表名
    数据数
    163com
    118100272
    163mail4
    167888526
    163mail5
    147858042
    163mail6
    145999906
    163mail7
    152658146
    合计
    732504892(7.3亿)

    图片5.png
    图6还原库统计
    6.结论与安全建议
        本次获取的数据样本来看,未去重数据7.3亿,泄露的数据声称达52G大小,也就是说如果按照数据还原的大小来看应该也在7亿左右,数据泄露之大在意料之外。从各种途径了解来看,有可能其邮箱真的被入侵过,还有一种可能,其他源头泄露的数据库通过撞库以及整理获取。不管是那个原因对个人用户而言,我们建议:

    (1)立刻修改个人密码。
    (2)不与支付或者银行卡等涉及交易的相关联,从网上舆情来看很多苹果手机绑定网易邮箱的极易被盗取ID,从而发生手机解锁诈骗等事件。
    (3)使用邮箱管理支付卡的,银行卡仅仅保留少量金钱,这样在被盗后也因为金额少而减少损失。
    (4)邮箱等密码要设置高强度,跟其他密码无关联,这样即使发生密码被泄露也因为密码不同,社工入侵的几率会大大减少。
    参考文章:
    https://163password.download
    http://business.sohu.com/20151020/n423654851.shtml
    http://news.mydrivers.com/1/452/452173.htm


    发表于 2017-5-8 16:30:47
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    0
    安全相关的知识太少

    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋白帽子军团:451217067
    i春秋-韩:556040588
    i春秋CTF交流学习群:234714762
    使用道具 举报 回复
    发表于 2017-5-10 04:46:39
    msfxxoo 发表于 2017-5-5 12:06
    我也想要

    看下怎么样再说
    使用道具 举报 回复
    我不知道你是从哪找到的那么多,我只找到了3000万的数据
    使用道具 举报 回复
    这裤子放出来最起码半年啦。。之前试过一些都登不上去呀。。
    使用道具 举报 回复
    2年前就有这批数据了,现在大部分账号密码都不能用了。
    使用道具 举报 回复
    这个是什么时候泄露的啊。。好像没啥映像。。
    使用道具 举报 回复
    zh这么多数据?网易怎么说啊
    不服你TMD来打我啊!
    使用道具 举报 回复
    这不是过去很久了吗。。。。。。。。。。。。。
    使用道具 举报 回复
    我也想要
    使用道具 举报 回复
    :D:D:D:D:D:D
    使用道具 举报 回复
    发表于 2017-5-5 14:44:40
    厉害厉害 葫芦娃
    使用道具 举报 回复
    发表于 2017-5-5 15:20:06
    什么时候的事儿
    使用道具 举报 回复
    z7788520 i春秋-核心白帽 ← 假 真➡i春秋打杂员 核心白帽 i春秋签约作者 积极活跃奖
    5#
    发表于 2017-5-5 15:26:46
    我以为是溯源呢
    不惹事,不生事,妖魔鬼怪快走开
    使用道具 举报 回复
    资源有吗
    使用道具 举报 回复
    发表于 2017-5-7 02:47:12
    资源打包出来
    使用道具 举报 回复
    发表于 2017-5-8 19:34:53
    提示: 作者被禁止或删除 内容自动屏蔽
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册