关于B站除夕夜被攻击

早上醒来，被朋友发来的一个信息给震惊了，除夕夜B站被攻击。

 

选择在除夕夜爆出这个事情，想必是提早已经规划好了，要形成必定的影响。目前网上的谣言不少，有说欠薪资，有说B站营销等等。具体有什么目的，以及什么缘由就再也不评论，在真相没有出来以前，一切都是不靠谱的。

 

据官方更新的最新消息，1.27号18:20起开始遭受了大面积攻击。随后10:30,后台审核系统被攻击。据统计，这次遭受攻击 帐号数约占总帐号的1.8%，大部分是是L6和L5的帐号，影响的只有节操值，帐号和密码安全不会受到影响。

 

一、从官方公布的消息来看，目前管理端被黑入的可能性比较高。不过管理端已经有操做权限了，用户资料和密码是否已经外泄，这个不得而知了，我以为几率仍是很高的。另外管理端上说，管理端是否和主站采用一个库，由于不作物理隔绝，让主库暴露在外层，不管是内部操做仍是外部操做，对主库都是又极高的危险。

 

二、密码的存储方式。我知道这是个极其简单又容易遗漏的事情，像往年爆出的用户密码被盗，多数都是明文的缘由。如果明文存码，用户的资产后期会被洗劫和转移，这对主站和用户的伤害会很大。如果使用密文，是否采用MD五、SHA1等单向HASH加密，目前来看这种加密如今也是不安全的，经过彩虹表查表也是能够破解的。如果采用对称加密，主要是保护好秘钥，能够将数据和秘钥分开存储，分开管理，但要彻底保护好秘钥也是比较复杂的事情，看项目的严谨程度。若是是对这方面比较重视，或者说用户资产比较重要，仍是建议采用bcrypt或者scrypt等算法来进行加密，一来能够有效抵御彩虹表攻击，二来是对服务器成本也不算高。这种算法即使是数据库泄露，黑客也没办法大批量破解用户密码，从而切断撞库的根源。

 

三、已经被黑的用户。仍是建议大家尽快更改密码，由于此次事件仍是没法肯定是否被攻击者拿到密码。建议改密码最好采用字母大小写+数字+特殊符号，虽然会复杂点，起码会下降一些撞库扫描的几率。

 

最后这起事件最辛苦的要数程序员和运维了，想必昨天晚上的年夜饭吃的并不开心或者没吃上，除夕夜改bug，过年三大坑之一，被遇到了，这份糟糕的心情我十分理解，真是辛苦大家了！大家是最可敬的人，新春快乐！欢迎关注我的公众号:cool_wier

扫描关注更多