看不见的眼在盯着你？

今天一个用户联系我，说站点被黑了，嵌入了恶意脚本。我当时给他建议，修改站点密码，删除站点文件重新上传，本地查杀病毒。用户反问我，密码随机生成的，那么复杂怎么可能泄露，一定是服务器被黑了。

(图源 ：pixabay)

于是我查了一下服务器上的日志，发现有一个IP使用这个客户的FTP账户用户名和密码登陆站点，下载站点文件，再上传插入恶意脚本的版本。我将记录发给用户，他不在坚持是服务器被黑了。

但是，我也好奇是什么原因造成用户账户被盗呢，于是查了一下几台服务器看看是否有类似情况，结果一查，我擦，竟然有三个站点中招。中招的比例不高，说明不是服务器被黑。然而这都不是重点，重点是，中招的三个网站中有我的一个！

咳咳，我可是安全意识非常高的，怎么可能会中招，一定是黑客搞错了。我三番五次核实之后，终于承认了这个事实，黑客没搞错，我的一个站点中招了。幸运的是，我的这个站点基本上处于濒死状态，没有啥访问量，也没啥重要数据。

然而到底是密码是如何泄露的呢？服务器被黑可以否掉，否则没理由放弃好多站只黑这三个小鱼。密码被暴力破解也不可能，这密码是随机生成，强度符合标准的密码。还有就是我电脑中毒，然后保存在FTP客户端的密码被盗取，然而，我FTP客户端里保存了N多站点，没理由放过其它。

那么剩下的还有一种可能，就是我FTP登陆的过程被别人嗅探并记录了。我去看了一下，我FTP中果然使用的是明文密码，其实我一直一来都用的加密方式，然而，大家都知道国内网络有时候灰常不稳定，于是记不得哪次我急着FTP，加密方式登陆不上去，就改明文了。和我那俩客户核实一下，果然他们也用的明文密码。

(图源 ：pixabay)

那么嗅探又是咋回事呢，我有幸在一网络安全公司工作过一段时间，并且从事的是IDS(入侵监测系统)的开发，对这个其实还有很熟悉的。简单来讲，我们访问网络上的一个站点，数据流要经过很多网络节点，就好比我坐火车从广东开到黑龙江，要经过好多火车站一样。而这些节点，是可以监控到这些数据流的，根据数据包头部等特征，可以对数据进行协议分析，进而可以分析出各种协议。而如果传输的数据使用的是明文，那么就可以获取全部的明文信息。

曾经一段时间，我是很热衷于查看公司内部各种数据的，包括谁给谁发了邮件，邮件的账户密码是啥，发了啥内容，以及谁用FTP下载了哪些不堪入目的小视频😀。不过我没用来干坏事啦，而且都是网络安全公司，大家互相黑来黑去，玩得很Happy。

只是这次不是像以前一样都是公司内部熟人互相玩，而是说不定在哪个节点被谁嗅探到，并且拿我的用户名密码干坏事，这行为就比较恶劣了。

那么这个情况有没有办法避免呢，我看了一下记录，早在2010年，8年前，我就强制要求所有客户用加密方式的FTP(FTPES）登陆和上传数据了！ 然而我大力推行的安全举措，受到了极大的阻力，很多客户以自己用的FTP客户端不支持加密方式为由，拒绝使用FTPES，并且要求我必须开放明文方式！最终的结果是，我妥协了，两种方式并存。

然后，8年后，我因一时的疏忽尝到了苦果。但是历经此事，我才明白以前把公网节点想象成不会作恶的想法是多么的幼稚可笑，也许节点不会作恶，但是管理节点的是人啊，是人在管理，就难免有人动歪心思，通过各种方式干坏事盈利。当然，也可能节点中招了，并植入恶意程序？

(图源 ：pixabay)

不管咋样，地球实在是太危险了，我们回火星吧，网络实在是太危险了，留个心眼，以后能用加密的数据，千万不能用明文了。

毕竟，有无数双看不见的眼在盯着你呢。