有天和一个兄弟吃饭,我吐槽我的 OSS 被灰产薅羊毛了,害得我每月亏几万块钱。
兄弟说这算个啥,我给说个刺激的!前几年有个人用我 OSS 做坏事,被我发现了,给他送进去了!
我:“展开说说?”
兄弟:“我回忆下,大概是这样:”
有一天晚上,大半夜,公司打电话说客户让我把某个图片删掉。我想什么图片呢,我打开链接根本打不开,是一个裂图。没多想,就给他删了。
你可以理解我们是博客园这样的平台,用户可以写博客,博客中间可以插入图片。
第二天,又来了这样的工单,又让我删,还是裂图,但是文件有2~3M。
第三天,又来了,这次是正常图片,还是要我删掉。
我有点懵逼,谁啊,这么无聊!让本来就忙碌无比的我雪上加霜,烦死我了。搞的什么破图,这么神秘,难道是啥境外非法势力,亡我中华之心不死,又在作妖?删除之前,我下载本地一份。
用 xxd 查看下文件。
左边是以十六进制形式输出的文件内容,方便查看文件的二进制数据,右边是 ASCII side-by-side。也就是在十六进制输出旁显示可打印的 ASCII 字符,帮助识别数据中的文本。在处理可疑文件时,安全研究人员可以利用 xxd 查看文件的低级内容。
$ xxd test.png
xxd single.png
00000000: 5261 7221 1a07 0100 54a8 6a46 0c01 0508 Rar!....T.jF....
00000010: 0007 0101 ded7 8281 0046 62db 7a3b 0203 .........Fb.z;..
00000020: 0bee 0104 d002 207b cfb0 0480 2300 1f67 ...... {
....#..g
... 省略N行 ...
00000030: 0000 0000 0000 0000 0000 0000 0000 0000 xxxxxxxxx/.idea/
... 省略N行 ...
000027a0: 0000 0000 0000 0000 0000 0000 0000 0000 xxx/.git/hooks/c
000027b0: 0000 0000 0000 0000 0000 0000 0000 0000 ommit-msg.sample
貌似是个压缩包。里面似乎有一些文件夹路径,有 git 事出反常必有妖!但是我没想到他这是在干嘛,我就跟我旁边的兄弟说了这个事,旁边兄弟智商非常高,马上说是不是偷东西呢?因为我们也不是搞安全的,只知道有蹊跷,没啥逆向思维能力。我同事一说,感觉就通了。
兄弟:“你知道怎么回事吗?”
我:“怎么回事快说吧!别卖关子了!”
我们推断这家伙马上要离职了,想把现在公司的代码偷出去,公司电脑又有监控,不敢传网盘。上传数据量大了也会被触发监控,所以蚂蚁搬家,每天都用cat xxx >> test.png 然后再到我们网站上传,只是上传几张图片,应该没有触发公司的监控报警阈值。然后一天上传10几个碎片,分三天上传。白天上传,晚上回家自己下载,心里又有鬼,害怕东窗事发,所以又要平台给他把图片删掉。
这是这点此地无银三百两导致他被揪出来了,我们发帖按照要求都是实名制的,后面的故事就不说了。
我:“真有点刺激啊!”
兄弟:“这兄弟估计也没啥经验,第一天的时候就像第三天那样,前面用一张正常图片,后面追加压缩包,那样我这样的菜鸡也不会多想。”
回家我研究了下,经常偷数据的兄弟肯定知道一些隐写术工具,这里奉劝大家还是安分守己,别做违法犯罪的事。特别是哪几个薅我羊毛,用我 CDN、OSS 当 FTP 的家伙,太可恶了。
