一场夜店里的风雪罪案

Sharer: 钛媒体 June 12, 2019 at 8:06 am

Link Share :http://www.tmtpost.com/4001525.html - via RSS

图片来源@视觉中国

钛媒体注： 本文来自微信公众号浅黑科技（ID:qianheikeji），作者：史中，钛媒体经授权发布。

人生而自由，却无往不在枷锁之中。

卢梭如是说。

偷袭珍珠港

2018年12月24日，平安夜。

北京工体北路被各色车流堵得水泄不通。一墙之隔，大大小小夜店里音乐震耳欲聋。

追光透过氤氲雾气，没头没脑地撞在疯狂扭动腰肢的男女的鼻尖和胸口，仿佛这一年的过错和心伤，都被关在门外寒冷的街道上。人们暂时告别思考，眼前只剩下沸腾的舞池和背后那块喷薄的大屏幕。

102号桌红衣小姐姐，我就在你斜对面，注意你很久了，想请你喝一杯！

大屏幕上突然弹出硕大的字幕和图片，角落里300秒倒计时开始闪动。这句让人荷尔蒙躁动的表白将在屏幕上"霸屏"整整五分钟。全场的目光透过无数晶莹的酒瓶，瞬间射向红衣姐姐，尖叫口哨声如排浪涌动。

美女姐姐朱唇渐启，灵眸微动。就在她眼眉重新抬起，望向前方的一瞬间，硕大的屏幕轰然暗下，音乐也随之停止。只剩下现场的灯光还在不解风情地疯狂闪动，仿佛一出动人的戏剧突然被暗下了静音键。

"砰！哗啦----"一支酒瓶被猛然站起来的男人在桌上敲碎，满地残渣。"我X！老子花了钱霸屏，你TMD屏幕灭了，是什么意思？！"

角落里人影随即一片混乱，妆容精致的男女争抢着远离"战场"，保安火速飞奔过来。

我们把镜头拉远。此刻，中国的版图已经入夜，海浪拍打着太平洋几千公里的海岸线，城市的灯火直冲天外。

南京几家酒吧里，所有人正在全神贯注地盯着大屏幕，跟随现场主持和音乐鼓点疯狂摇着手机抽大奖；深圳的西餐厅里，人们也举着手机，跟随者屏幕上的指引参加砸金蛋游戏。和北京的夜店分秒不差，他们面前的屏幕也霎时熄灭，人们面面相觑，一阵骚动。。。

究竟发生了什么？

我们把地图再微微拨动一点，广州一家高档餐厅顶楼，刘敬元正坐在酒桌前，刚大口干掉一杯酒，甩开架势跟坐在主位的大咖说："你们是广州最大的夜店连锁，当然要和那些"妖艳贱货"夜店拉开差距！我们的"每屏秀秀"，可以用手机实时送礼物霸屏、打赏艺人、互动点歌，还可以玩全场大游戏。北京南京深圳的夜店，上了这套系统，气氛比以前嗨十倍，店内流水也翻几倍！你看，我给你演示一下！"

刘敬元刚掏出手机，一声"卧槽"从他嘴里挤出来。他眼前的景象像火山喷发一般----几千个微信群里的客户同时飙出来各种抱怨，恨不得弹到他的眼珠上。

你没猜错。 之前提到的夜店酒吧，全都用了同一款互动娱乐系统，每屏秀秀。

就在2018年12月24日晚上，每屏秀秀的 CEO 刘敬元远赴广州准备拿下一个重要客户时，无数暗黑的能量，沿着地下光纤和海底光缆，从地球的各个角落猛然涌向中国，不由分说地冲进了这个爆款软件的核心服务器。

如同和主脑失去了联系的机甲战士，几千家酒吧夜店的屏幕，一瞬间同时熄火。

天上掉下来的一把钢刀整落在刘敬元眼前，尖利的警报在他脑海里响起："这不是演习，这是攻击！！！再说一遍，这不是演习，我们正在遭遇攻击！！！"

对面的老板摊开双手，皱着眉头看着定在原地双目失神的刘敬元。刘敬元的汗顺着额头滴下来，他的脑海里只浮现出一个字："战！"

鬼魅初现

出生于1981年的刘敬元思路缜密，荷尔蒙爆棚。从懂事开始，他几乎就是全北京夜店最靓的仔。

21世纪初，"给服务生50块钱，让他们把纸条上对隔壁妹子的表白打在酒吧大屏幕上"，就已经是刘敬元的日常操作了。

凭着对夜店的热爱，2016年，他拍胸脯忽悠几个最好的哥们从各自的创业公司退股，加入他的队伍。他的理由是："夜店看起来是最潮的地方，但其实99.99%都是土嗨，没有数字化的含量。我们用互联网的玩法改造夜店，绝逼是杀入了一个蓝海！"

刘敬元

这话基本没错，海是挺蓝，只是海水比他原本的想象深一万倍。。。。

刘敬元第一次感知到黑暗中的对手，是在2017年8月。

那时，他的娱乐系统已经在北京后海酒吧街流行开来，信心满满准备冲出北京，走向全国。第一站，就是好朋友在广西南宁开的酒吧。

需要说明一点，当时全中国，大概有30多个公司都进入了"酒吧娱乐系统"这片蓝海，刘敬元也并不是最早的一个。最初这些公司就像古代欧亚大陆上的文明那样独立发展，井水不犯河水。然而从2017年起，这个小众行业里的公司们开始了"大航海时代"，伴随对地图上各个城市的占领，公司之间在商业上的缠斗也随之展开。

在酒吧里，每屏秀秀大概就是这样

事实上，每屏秀秀进入南宁这家酒吧，就是替代了竞争对手C公司的产品。

所有人满心欢喜期待试运行的那天，结果，怪事发生了。

当晚九点，酒吧营业，现场观众开始饶有兴趣地参与大屏幕上的互动游戏。但是无论顾客怎么扫码，就是进不去每屏秀秀的 H5 页面，气氛突然尴尬。

当时有人拍下了自己的手机

酒吧老板当时就给刘敬元打电话吐槽："你这东西太不靠谱啦！关键时刻掉链子，好哥们难道是用来坑的吗。。。"刘敬元也一脑门官司---- 怪事！以前没出现过服务器不稳定的情况呀。。。

他赶紧让公司技术负责人昆伦检查，这下发现了不得的事情：每屏秀秀在云上的主服务器遭遇了 DDoS 攻击。而服务器是服务所有客户的。也就是说，别说是南宁，包括北京后海在内所有用户的酒吧互动系统都同时挂了。。。

"啥叫 DDoS？"做市场出身的刘敬元第一次听说这个"生词"，一脸懵逼。

这里中哥插入一下，给小白浅友做个科普：DDoS 是一种非常常见的黑客攻击手法，意思是用大量的流量请求堵死服务器，让你没办法正常提供服务。

举个栗子：如果你把每屏秀秀比作一家铜锣烧店，DDoS 攻击就像是坏人雇了成千上万人堵在商店门口。真正想吃铜锣烧的人连商店的们都挤不进去。。。

大概就是酱紫

情况危急，昆伦赶紧想应对方法。

每屏秀秀租用的是中国一家知名云计算厂商的云服务器。昆伦想起来，这家云计算厂商有一个300G以下 DDoS 防御的优惠套餐。他评估了一下，目前自己被打的带宽大概是两百多G，估计能抗住。于是赶紧购买套餐，打开防御开关。

然鹅，黑暗中的那个人，仿佛《电锯惊魂》里的"面具男"一样注视着昆伦的一举一动，就在他开启防御的两分钟后，攻击能量瞬间提高到了350G。。。

根据云计算厂商的规定，超过300G的攻击，如果不追加购买昂贵的额外抗DDoS服务，就要被拉入"黑洞"----断开服务对外所有连接，任何人都无法访问。

每屏秀秀就这样进了 " 小黑屋"，彻底宕机，躺尸了一晚上。

这一场"飞来横祸"，让刘敬元不仅脆生生地告别了南宁市场，还得挨个给北京的酒吧老板道歉。公司当天的防护费用加上给酒吧们的赔款，总共损失了二十多万。这对一家创业公司来说，已经不是小数目了。

这是刘敬元手机里的客户群

刘敬元是个快意恩仇的北京爷们，"吃哑巴亏"从来都不是他的生活选项。他就想弄明白，究竟是谁在用这么骚的阴招搞自己。

他第一个想到的是求助于云厂商的安全队伍来手动溯源，对方说，溯源可以，不过费用在50-100w之间，不保证找得到。

他看看公司的钱袋子，瞬间冷静了下来。。。

跟圈内朋友打听了一遍，他拼凑起来一个骇人听闻的传言：

正是他替代的那家对手C公司，惯用这种非法手段攻击异己。更惊悚的是，已经有几家同类小公司死于网络攻击的乱棍之下了。。。

刘敬元嘴张得老大，难道商业竞争还能这么玩？

如果是真的，这可是犯罪啊！我进军南宁一个酒吧，就值得对手用这么高的成本攻击我，那说明这里面得有多大的商业机会啊！当时我就铁了心，就算卖房卖车，也要把每屏秀秀搞下去！

刘敬元挑挑眉毛，对我说。

有趣又奇怪的是，那次攻击后一天、一星期、一个月，每屏秀秀并没有遭遇到新的攻击。一切平静得像冬天的海岸。仿佛那晚的暴击是一场噩梦，醒来之后就消散得无影无踪。

时间就这么过去了大半年。到了2018年秋天，每屏秀秀已经火速拿了两轮融资，业务拓展到全国一百多个城市几千家酒吧夜店，基本占到了整个中国市场的半壁江山，服务都一切正常。同事们也渐渐淡忘了那晚的攻击。

但是刘敬元心里隐隐觉得，有些东西还没画上句号。

去年那场攻击到底是不是竞争对手干的？

为什么从那以后，对方就像鬼魅一样神秘地消失在黑暗里了？

它，还会回来吗？

眼看冬天就要来了，圣诞节、元旦、春节像枪膛里一排子弹那么密，酒吧夜店行业将进入一年一度的黄金季节。

刘敬元心里比谁都清楚，如果那个鬼魅再回来，自己仍然没有招架之力。而这次一旦出问题，受牵连的可不是一年前那一百多家夜店，而是全国几千家。本来在夜店喝酒的人多少都带着情绪，会造成怎样的社会问题，都是个未知数。。。

直觉告诉刘敬元，自己得主动做点什么。

那天一次闲聊中，他把自己曾经遭遇攻击的事儿透露给要好的朋友，朋友想了想说，"你听说过知道创宇吗？"

两条防线

刘敬元第一次见到刘月皓，就在北京。

他皱着眉头，把去年被攻击的遭遇，一五一十地讲给对面这个小伙子。虽然他也不敢肯定，知道创宇这家号称"黑客特种兵"的安全公司到底是不是像坊间传闻一样那么牛。

常看中哥文章的浅友，一定对知道创宇这家公司有很深的印象。这里再给不熟悉的浅友介绍两句：

知道创宇是中国一家调性奇特的网络安全公司。如果把网络安全的江湖比作一个青楼，那么知道创宇有点像赛金花---- 技术没的说，但是有性格。对良人宽衣解带，对恶人火力全开。两条毛腿肩上扛，民族大义记心上。

知道创宇的创建者是中国第一代黑客赵伟，江湖人称 ICBM，从年少时代开始，他的梦想就是"用技术保卫世界"，如今他已经是个中年老黑客，却还在靠这个梦想带领一千多兄弟姐妹们在网络安全战场杀进杀出，气氛非常热血。

知道创宇的绝活之一，就是帮助用户抵抗黑客攻击。

而刘月皓作为项目经理，正是负责对客户的重大保卫工作。

刘月皓

听了刘敬元的描述，月皓心里大概有数了，这看上去是典型的带有商业目的的网络攻击，自己曾经带队打过很多次这样的保卫战，已经驾轻就熟。但这种攻击通常在游戏行业常见，没想到这世界变化快，战火已经烧到了夜店。。。

就在刘敬元和知道创宇接触的那几天，技术负责人昆伦才告诉他，自己已经花钱在云计算厂商买了更贵的抗 DDoS 服务，似乎已经没必要再另外花一份钱做保卫了。

刘敬元仔细想了一下，觉得心里还是打鼓，最好能把防线做成两条，一个 " PlanA"，一个 " PlanB"。

"你看，我们已经买了云厂商的安全服务，钱都花了，能不能把知道创宇的防护方案做成 PlanB，真能用到的话，到时候我们再谈合作？"刘敬元试探性地商量。

"没问题，我们的专家组随时待命，如果有问题，你随时切换到我们的防护系统。"说到底这毕竟是个商业合作，月皓没有步步紧逼，倒是有点出乎意料。

一天后，月皓坐在自己的工位上，认真思考着这个"案子"。他冥冥中感觉这件事不是那么简单。

按照刘敬元的描述，对方的攻击手段非常阴险毒辣。

第一，攻击者能根据对方的防护策略实时改变进攻方式和强度，这么专业的操作，意味着他是个 "黑客老手"。

第二，攻击者能卡在每屏秀秀晚上最关键的时间点发起攻击，说明他还同时是了解酒吧夜店行业规律的 "行内人"。

面对这样狡猾专业的对手，云厂商的防御工事未必能百分百奏效。

月皓自言自语。

他点了点头，打开同事小组的群聊对话框说："兄弟们，圣诞节那几天我们可能会有'重大保卫任务'，大家提前做好准备。"

2018年12月22日。刘敬元坐在办公室，盯着屏幕上的一条微信公众号消息，皱起了眉头。

因为由来已久的商业摩擦，对手C公司的官方微信突然推送了一条消息，怀疑每屏秀秀在背后搞不正当竞争，并且配了一张图，上书一个大字："战"。

这篇推文后来被主动删除，这是截图存证的打印件

"当时我就有一种不祥的预感。。。"刘敬元对我说。

但毕竟人不能被自己吓死。什么都没发生，他还得按照既定日程，奔赴广州去谈客户。

于是，便有了开头一幕，2018年12月24日，刘敬元在酒桌上聊天正酣，背后的服务器猛然遭遇了史无前例的"偷袭珍珠港"。

PlanB

"偷袭珍珠港"发生时，每屏秀秀技术负责人昆伦在北京。

看到后台服务挂了，他赶快召集同事们实施 PlanA----接入云计算厂商的防护系统。瞬间，DDoS 攻击的流量被闸门大开的大坝像泄洪一样放走了。但是怪事发生了：DDoS 的流量被清洗，但仍然没有恢复服务。

那天晚上，酒吧老板们看到的界面一直是这样

"一定还有什么原因，你赶快给我找出来！"电话这头的刘敬元已经很难淡定了。

为了拿到用户第一手的体验，刘敬元作为 CEO，加入了几千个客户的微信群。那晚服务突然挂掉，几千家客户在群里的吐槽一瞬间涌出，让刘敬元的手机瞬间死机；他甚至不敢想，如果这次攻击持续下去，他将要付出多大的损失，他觉得自己的大脑也快死机了。

猛然间，他想起了月皓。

当时，月皓正在参加知道创宇的年会。他一看是刘敬元打来的电话，心里猛地一沉，猜到了十有八九。

作战小组马上成立，小组成员分别地处北京和成都，远程沟通作战，刘敬元、昆伦还有几位技术同事都被拉进了微信群，上一秒大家还在吃喝玩乐，这一秒"PlanB"就在没有任何预热的情况下，直接点火启动。

被攻击的服务器第一时间连接知道创宇的防护系统。很快月皓团队就发现：除了标准的 DDoS 攻击，黑客还同时发动了 CC 攻击。

这里中哥还要插入一下，给你解释一下神马是 CC 攻击。

CC 攻击是 DDoS 攻击的一个分支。还拿铜锣烧店作比喻。DDoS 攻击像是雇一堆人堵在门口，CC 攻击就是雇一堆人站在柜台面前，拉着售货员要这要那，但就是不买，也不走。这导致售货员的注意力被牵制，根本没办法服务正常用户。

CC 攻击大概就是这样

由于 CC 攻击涉及到对具体业务的进攻，所以攻击成本要比 DDoS 大。看来对手这次是铁了心要置刘敬元于死地。。。

这时，有趣的事情发生了。

CC 攻击虽然厉害，但也有个弱点：攻击者需要提前指定目标 IP，就像离弦的箭一样，没办法中途改变方向。

所以在每屏秀秀跳到 PlanB 的防御工事背后，大量的 CC 攻击流量仍然涌向 PlanA 防御工事的 IP 地址，扑了一个空。

显然，对方在攻击前做了充分的侦查，但并没有料到刘敬元居然还藏了个后手。

经过分析，CC攻击占比超过86%。截图来自知道创宇的报告

凭借着比对方多想了一步棋，此刻每屏秀秀的服务缓慢地拉起，全国几千家夜店的互动屏幕在黯淡了几个小时以后，终于恢复了服务。

然而，服务在最高峰时期中断几个小时，已经是"罪不可恕"了。客户可没有义务理解刘敬元，什么被攻击，什么竞争对手从中作梗，我们才不信，也和我们没关系。你的服务中断了，你就要赔偿我们的损失！我们就不想和你继续合作了！

这是当时各个客户群里的吐槽

刘敬元看着昆伦发来的后台数据---- 攻击流量一浪接着一浪，根本没有要停下来的架势。知道创宇虽然今天扛住了，但明天还能不能扛得住，还是个未知数。他一夜没睡，连夜安排兄弟们兵分三路：

一路由销售负责人带队，给客户一个个道歉，商量赔款事宜。

一路由技术负责人带队，和知道创宇一起商量接下来的应对计划。

一路由高管带队，负责收集证据，第二天赶快报告给警察叔叔。

而刘敬元自己，推掉余下行程，紧急买了25号的飞机回北京。

凌晨五点，最喧闹的夜店也安静了下来。暮光中，这一波攻击能量终于缓缓下降。然而，所有人都知道，这暂时的喘息，只是因为黑客觉得没必要在酒吧下班的时候还持续攻击， 到了今天晚上更猛烈的攻击一定会卷土重来。。。

月皓最担心的是：对手极其强大，肯定探测到了每屏秀秀已经切换到了知道创宇的防御工事。这意味着昨天扑空的CC攻击，今天一定会调整枪口，直接冲向知道创宇。

真正的考验才刚刚开始。

生死时速

25日晚上九点左右。

果然，第一发子弹"如约"撞向了知道创宇的护盾。

知道创宇十多位同事和每屏秀秀的三位同事马上进入战争状态。意料之中，今天的对手果然比昨天强大了无数倍。

这里中哥还要科普一句。 CC攻击其实很难缠，就像大自然中的病毒，存在无数种 " 变种" 。只有针对每个变种配置专门的 " 疫苗" （防护策略），才能保证杀灭这波攻击。

你大概玩过塔防游戏。防御CC攻击和塔防有点像。针对这一波怪物的特性，你所布置的防御阵型也需要调整。

但问题的关键在于：每调整一次配置防护策略，都需要1-2分钟时间，所以理论上如果对手每两分钟都把CC攻击做一次"变种"，防御策略刚调好，对手的攻击方法就变了。。。那么防护策略就会一直处于跟不上节奏的无效状态。

事实上，这件事情真的发生了。

对手准备了无数种 CC 攻击的变种，每两分钟切换一次。由于知道创宇不能直接进入每屏秀秀的服务器查看攻击的特征，需要昆伦他们手动把特征提取出来，然后发给知道创宇，月皓这边的工程师再配置策略。这个繁琐的过程，会把策略配置所需的时间拉得更长。

这是当时某个CC攻击变种的态势图，来自知道创宇

每屏秀秀是一家创业公司，哪有配合特种兵打仗的经验啊。。。他们动作并不熟练。昆伦和两个兄弟满头大汗，却只能咬着牙坚持，手指把键盘敲得砰砰响，却不敢迟疑半秒钟。虽然他们用尽了全力发送攻击特征，仍然跟不上变种的速度。

当时群里的对话，能感受到危急的气氛：

然而，正邪双方就像两辆正面刚的坦克，比的就是谁装填弹药的速度更快----手指慢半秒，就可能让对方先于自己把炮弹发射出来。

这天晚上，酒吧的老板们感受到的就是：每屏秀秀在"抽风"，好两分钟，挂两分钟，又好两分钟，又挂两分钟。。。脾气暴的老板直接给刘敬元打电话，恨不得肉身过来找他打架。

"今天TMD 是圣诞节！你知道我们损失多少钱吗？你们每屏秀秀一分不少地赔给我！"

"算我看错你们了，我明天就切换到你们对手的服务上去！"

刘敬元就这么一个电话一个电话地接，一个客户一个客户地赔笑脸。他不敢崩溃，他是 CEO，兄弟们都看着自己呢。

那时候真的觉得好孤独。没有人能体谅我有多难。

刘敬元苦笑着回忆。

这边刘敬元苦苦支撑，那边月皓能看到，自己填充弹药的速度，已经在缓慢而坚定地追赶对手。

此时，已经是25日深夜。酒吧最热闹的时间马上就要过去。

就在知道创宇的装弹速度正在一点点追赶对手的装弹速度时，月皓突然发现，每屏秀秀突然从自己的防护中撤走了，又回到了 PlanA 的防护体系中。

原来，压力巨大的刘敬元实在是顶不住了，他病急乱投医，让昆伦试着把防护又切回了云计算厂商之下。

一种难以名状的情绪瞬间堵在月皓心口，他一把抓起电话打给刘敬元。

你知不知道这样做很危险！对方这么猛烈地攻击，你却从一个掩体跳到另一个掩体，在这个过程中，你们的真实IP有可能暴露，一旦暴露真实IP，防护的难度又会成倍增加！对手现在最希望看到的就是你崩溃，就是你失去信心。我们的防护策略调整速度已经马上要赶上对方变化的速度了！你的难处我能体会，但胜利在望的关键时刻，我们现在绝对不能互相猜疑。你要相信兄弟们啊！

月皓顾不上什么客套，他的话像连珠炮一样劈头盖脸冲击着刘敬元的耳朵。

电话那头的刘敬元沉默了好几秒。他咬咬牙，跟昆伦说："切回知道创宇。"

诺曼底

26日凌晨，东方渐白。

战场上的局面进入了非常微妙的阶段：知道创宇策略调整的速度已经和黑客攻击方法调整的速度非常接近。

然而时间不等人，此刻夜店已经又到了打烊的时候，黑客再一次鸣金收兵。

月皓给刘敬元打气，告诉他战争即将胜利。另外，他给每屏秀秀提出了一个要求： 追加十台服务器。

为什么要追加十台服务器呢？背后的逻辑是这样的：

1、对方不断变换CC攻击的特征，知道创宇必须要一定的时间缓冲才能完成策略调整。

2、经过一夜的磨合，知道创宇和每屏秀秀的沟通已经逐渐顺畅，每次策略调整的延迟已经能压缩在60秒左右。

3、每屏秀秀的服务器，只要能抗住对手变化攻击策略的这60秒，就能给知道创宇的防护系统以足够的战略缓冲，在服务器快要满负荷的时候，接入防护策略，保障服务不挂。就像一个人面对细菌入侵，只要自身的免疫系统能扛住最初一天病菌的攻击，药物就能利用这段宝贵的时间进入体内，直接杀灭病菌。

用月皓的话说，每屏秀秀当时的服务器太少，资源很紧张。简直就像"碰瓷的"，稍微一碰立刻扑街，特种兵抢救再快，也赶不上它扑街的速度。。。

刘敬元听明白其中的道理，丝毫没有犹豫，火速让同事加上十台服务器。

话分两头，一边是知道创宇在死扛对手，另一边报案的同事已经把前因后果详实的记录和证据都交给了警察叔叔。北京昌平区的网安警察正式立案。

26日夜里，攻击者毫不爽约，果然又回来了。

再厉害的编剧都难以想象，此处剧情发生了180度转向。

由于增加了服务器，"战略缓冲地带"大大增加；而有了之前的磨合，知道创宇和每屏秀秀的团队在后方打出了神配合，任凭对手如何变换攻击方式，防护系统都岿然不动。每屏秀秀的服务一切如常。

暗夜无声，全国用户在各地的酒吧里霸屏嗨爆，恐怕没人关心远在天边的服务器里，正邪两方在用绳命激战。。。

如同一场酣畅淋漓的诺曼底登陆，战争终于进入了反攻阶段。 腾出手来的知道创宇，一刻不停地开始实施 "反攻大计"。

27日早晨，他们把每屏秀秀这几天被攻击的日志导入人工智能分析系统，一个惊人的结论马上呈现出来：

总计几十亿次攻击，来源并不是没有规律，它们在固定的位置都包含一些特定的 字符串 ，这些字符串总共只有十三种。

这说明，攻击者是有迹可循的。

但是这些字符串是用户在和每屏秀秀互动的过程中加密过的，它们代表什么意思，只有每屏秀秀才能解密。

昆伦第一时间拿到了知道创宇给过来的这些字符串，用自家秘钥解密之后，他惊呆了。。。

由于黑客攻击了每屏秀秀的 H5 页面，这种攻击要求首先用某个微信授权登陆进去才能拿到H5页面的网址，而这些字符串恰好代表的就是攻击者登录每屏秀秀服务所使用的微信ID和头像。

对手也许是太着急，也许是技术不精，黑客在这一步并没隐蔽自己，露出了重大破绽。昆伦赶快从数据库中调取出这十三个用户的头像和ID。

这是头像和ID的部分截图，避免不必要的信息泄露，这里我把图片模糊了

刘敬元看着这些头像，一拳差点把桌子锤碎。

其中一个头像他太熟悉了，就是C公司的一位高管。

再根据这些头像登录时的 IP 记录进行查询，地址瞬间被定位到成都某大厦，这个位置刘敬元也太熟悉了，正是C公司办公室所在地。

刘敬元把牙咬得嘎嘎响，立刻把这些头像和地址信息的"新发现"同步给网安部门，警察叔叔看到这些证据，露出了欣慰的笑容。。。

收网

2018年12月29日，黑客仍在疯狂地攻击，只是每屏秀秀的服务一切如常，用户感知不到了。

此时，刘敬元已经被警察叔叔叫去配合固定证据。在证据保全机构，一条条日志被下载存储起来作为将来的呈堂证供。

警察叔叔告诉他，由于对嫌疑人的证据固定需要非常严谨，所以收网的时间并不会像他想象得那么快。所以为了不打草惊蛇，刘敬元还要装作什么都没发生，跟之前一样，和黑客在线上死磕。

正是在这一天，有客户突然打来电话，气势汹汹地投诉："你们给我结算的流水，和我当天看到的不一样啊！你们是不是在后台偷偷改了数据库？"

纳尼？刘敬元又一脸懵逼。昆伦仔细查看了数据库，发现居然有黑客摸进了每屏秀秀的后台系统，一条条地删改记录。。。

在知道创宇的帮助下，很快情况就摸清了。黑客久攻不下，居然换了一条路，用修改数据库的方法，企图挑拨用户矛盾。

刘敬元大喝一声：给我把漏洞封堵住！

没想到警察叔叔却按住他的肩膀："冷静，让子弹飞一会儿，这些证据我们也要固定。"

"好！"刘敬元含泪答应。他们就这么死扛着。当天，有一家酒吧正好使用每屏秀秀做抽奖活动，刚开出特等奖，后台的数据库就被黑客破坏了，导致1400块的奖品中奖记录消失了。之前中奖的客人喝了酒，本来很高兴，突然一下说奖品不是他的，情绪很激动。酒吧老板只好自己补贴，又加抽了两轮。

刘敬元知道了，赶紧拿自己的钱赔偿给老板。

如此几天，黑客入侵的证据终于被固定下来。

1月4日晚，本该如期 "打卡"的攻击并没有来。

刘敬元知道，持续了整整十天的攻击，可算是停了。他摊在办公室的椅子上。这十天时间，原本开朗的他几乎没和家人说一句话，没有连续睡超过三个小时，人瘦了二十斤。

他估算了一下，每屏秀秀因为这次攻击，承受的直接间接损失高达千万。

警方让每屏秀秀的和知道创宇的同事配合完所有的证据采集，就去火速办案了。那之后，刘敬元都憋着一口气，就在等待正义降临。

一个月后，好消息终于来了。

根据警方的案情通报，2019年2月，江苏某地，实施网络攻击的黑客落网；2019年4月，经过缜密侦查和完整的证据链固定，北京警方从成都某地带走了三名幕后主使。2019年5月，北京昌平警方对嫌疑人正式批捕。

这个案件，也成为了"净网2019"专项行动的一个标杆项目。

这是公众号"平安昌平"发送的照片，警方抓捕和审讯嫌疑人

尾声

惊天大案落下帷幕。

最灰暗的日子过去了，刘敬元终于能把这些故事一点点讲出来。

我不是技术男，我对于技术的知识真的有限。也许有人能滥用技术欺负我们一时，但是我终究相信邪不压正。用违法手段来进行商业竞争，一定会玩火自焚。

在最绝望的时候，有伙伴能一直站在我旁边，我很感谢月皓。

刘敬元对我说。

这是最终统计，攻击者攻击总数。数据来自知道创宇

夜店里的俊男靓女们又过上了嗨嗨皮皮的蹦迪生活，他们当然不知道，有一个名叫刘月皓的同学和他知道创宇的同事们怎样影响了他们的生活。

不过侠客从来如此，事了拂衣去，深藏功与名。

有一个小秘密，刘敬元在临别之前才告诉我。

在2018年12月25日，最绝望的那一刻，他曾经问月皓："你能不能帮我用同样的黑客方法打回去？我和他们拼了！"

月皓一秒都没有迟疑，严肃地说："一旦你做了这件事，一旦我帮你做了这件事，我们两个就都跌入万劫不复的深渊。"

现世安稳，给我们幻觉。每个人看似都有无限的自由，但每个人距离深渊又都只有咫尺之遥。

我们周围，有一条条看不见的 红线。

月皓面前有一道红线，红线这边，是用技术防御进攻；红线那边，是用技术入侵对手。他知道，作为网络安全人，决不能迈出红线一丝一毫。

攻击者面前有一道红线，红线这边，是用商业手段竞争；红线那边，是用非法手段打击对手。他们最终一点点越过红线，被前方的黑暗深渊吞没。

刘敬元面前也有一道红线，红线这边，是相信技术和法律；红线那边，是用自己的"正义"裁决对方。在最后一刻他被说服，没有以暴制暴，以黑吃黑，他用清白之身等到了正义降临。

正义有时迟到，但从不缺席。

网络世界永远存在黑暗的力量，它映射着人们心中永恒的黑暗角落。当深渊在凝视你，召唤你，别忘了脚下那根看不见的红线。

本文资料来自于刘敬元和刘月皓的口述，参考知道创宇攻击防护报告，参考微信公众号 "平安昌平"所发布的官方内容。感谢警察叔叔让我们的生活更平安。

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App

作者暂无likerid, 赞赏暂由本网站代持，当作者有likerid后会全部转账给作者（我们会尽力而为）。

Tips: Until now, everytime you want to store your article, we will help you store it in Filecoin network. In the future, you can store it in Filecoin network using your own filecoin.

Support author:
Author's Filecoin address:
Or you can use Likecoin to support author:

tags:黑客技术

0 0

**偷袭珍珠港 **

鬼魅初现

两条防线

PlanB

生死时速

诺曼底

收网

尾声

偷袭珍珠港