程序员的大本营被黑客攻击了!
就在五一假期的最后一天,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,取而代之的是黑客留下的一封勒索信!
黑客留言:
“要恢复丢失的代码并避免泄漏:将比特币(BTC)发送到我们的比特币地址,并通过电子邮件admin@gitsbackup.com与我们联系,并附上您的Git登录信息和付款证明,”
“如果您不确定我们是否有您的数据,请联系我们,我们会向您发送证明。您的代码已下载并备份到我们的服务器上。”
“如果我们在未来10天内未收到您的付款,我们会将您的代码公开或以其他方式使用。”
警告的帖子
https://www.reddit.com/r/git/comments/bk1eco/git_ransomware_anyone_else_been_a_victim/?ref=readnext
这封信中表示,他们已经将源代码下载并存储到了自己的服务器上。从这个威胁话语来看,受到攻击的是GitHub上的私有库。而且,不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。
虽然有数百名受害者,但目前黑客并没有赚很多钱。 目前,黑客的比特币钱包只收到了2.99美元左右的一笔付款。 反而,在Bitcoin Abuse 数据库上, 黑客的钱包地址已经被34人举报了。
成为受害者的用户大多是在他们的GitHub,GitLab和Bitbucket帐户使用了弱密码,或者忘记删除他们几个月没用过的旧应用程序的访问令牌,基本上都是这两种。
在推特上,开发者社区的一些重要人物目前敦促受害者在支付任何赎金需求之前联系GitHub,GitLab或Bitbucket的支持团队,因为可能有其他方法可以恢复已删除的代码。
GitLab安全总监Kathy Wang也发表声明回应网络攻击:
“我们已确定受影响的用户帐户,并已通知所有这些用户。根据我们的调查结果,我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。“
GitLab建议为了防止密码被黑客盗取,可以启用双因素身份验证,为帐户SSH密钥;使用强密码,用密码管理工具存储密码,不要使用明文。
补救措施
如果你已经不幸中招,也不要急着交赎金,因为即使交钱也无法保证代码不会被黑客公开。
至于已经被删除的代码,一位早期受害者在StackExchange论坛指出,代码其实还在,是可以恢复出来的,只是HEAD被黑客修改了而已。
他还给出了一系列补救办法,被GitLab官方推荐。
输入以下代码:
git checkout origin/master
git reflog# take the SHA of the last commit of yours
gitreset[SHA]
能看到黑客的提交记录,并修复origin/master。但是问题还没有完全解决,如果输入git status,还是会显示:
HEAD detachedfromorigin/master
如果你在本地备份了代码,那就好办了,直接把本地代码强制push上去:
gitpushoriginHEAD:master--force
如果你在本地没有备份,仍然可以从远程库克隆,用git reflog或者git fsck可以找到最后一次提交并更改HEAD。
接下来唯一需要担心的可能就是黑客是否会公布你的私有代码了。
其实,黑客入侵时有发生。
在2018年3月份, GitHub 也遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了前所未有的1.35Tbps。
在2018年,Gentoo Linux发行版的维护方发布了一份事件报告,称此前有人劫持了该组织的一个GitHub帐户并植入了恶意代码。
在2019年4月份,Docker Hub数据库遭遇未授权人士访问,并导致约19万用户的敏感信息曝光在外,这批信息包含一部分用户名与散列密码,以及GitHub与Bitbucket存储库的登录令牌。
作为开源代码库以及版本控制系统,Github 拥有上百万的开发者用户,被坊间称为程序员的“另类”社交网络、 全球最大的黑客聚集地。
好啦,这里是黑马程序员上海中心你们的学姐(卫星:CZBKSH),加学姐可领取基础教学视频,每天仅限10名!!
推荐阅读:
2018年新版Java学习路线图(内含大纲+视频+工具+书籍+面试)
2018年最新Python学习路线图(内含大纲+视频+工具)
2018版Go语言+区块链学习路线图(含大纲+视频+工具+资料)
网友评论