我github被攻破了

sdysj

2013-11-20 16:30:16 +08:00

ssh key都不分开用吗？真勇敢。

tingxueren

2013-11-20 16:31:11 +08:00

赶紧改密码，最近密码泄露太多了吧，看来需要全部开启两步验证，真麻烦

sivacohan

2013-11-20 16:36:11 +08:00

为毛线我的就没人进来……是不屑吗？

cyberscorpio

2013-11-20 16:47:31 +08:00

说明这些网站一直都有漏洞被别人攥在手里，这次因为 github 的账户可以赚比特币，所以就被拿出来用了。说到底还是利益使然。

lazygunner

2013-11-20 17:00:59 +08:00

看来这么多人也被搞了。。。
早上没看邮件，发现push不上去，登录网站才发现不妙。。

siw

2013-11-20 17:22:40 +08:00

user.failed_login: Originated from 190.204.106.53
2 days ago user.failed_login: Originated from 222.124.123.28
3 days ago user.failed_login: Originated from 190.73.173.143
3 days ago user.failed_login: Originated from 84.2.238.34

哈哈我的密码只有和用户名很类似。。。

picasso250

2013-11-20 17:32:26 +08:00

user.failed_login: Originated from 200.109.44.249
2 days ago user.failed_login: Originated from 190.203.146.148
2 days ago user.failed_login: Originated from 186.90.120.120
2 days ago user.failed_login: Originated from 110.139.155.95
3 days ago user.failed_login: Originated from 186.88.103.204

F0ur

2013-11-20 17:36:54 +08:00

8 hours ago user.failed_login: Originated from 190.173.31.217
3 days ago user.failed_login: Originated from 180.94.69.66
3 days ago user.failed_login: Originated from 190.200.215.14
5 days ago user.failed_login: Originated from 106.187.101.212
6 days ago user.failed_login: Originated from 115.29.195.54
10 days ago user.failed_login: Originated from 8.35.200.38

好可怕。。

xiaket

2013-11-20 17:43:17 +08:00

@zhttty 良好说明了用LastPass后加一个ubikey的必要性... 偶要感谢偶当时的决策...

好吧@aveline 同学的密码泄漏的确比较诡异...

gullon

2013-11-20 17:50:24 +08:00

好吧，我也打过 github 的主意，你们懂的。
有很多思路。。

https://github.com/USERNAME --->判断用户是否存在，这里不限制请求。
USERNAME 和 EMAIL 都可以用来登录帐号。

如何拿用户名呢？
有很多地方是可以获取到用户的 github 主页地址的。
例如，遍历 v2ex 的所有用户，获取他的 github 地址。http://www.v2ex.com/t/55360

那密码呢？
你想到了 CSDN 的百万密码库了么？邮箱，帐号，密码都有。
除了 CSDN，还有很多库呢。。

那如何尝试登录呢？
最简单的方法有木有：http://developer.github.com/v3/auth/#basic-authentication
表单提交也可以（虽然还要获取一个authenticity_token, 麻烦点而已）
再麻烦点的，使用 http 协议clone 一个 repo，再尝试登录，输入帐号密码（有可能绕过限制哦）

ip 限制？你去搜搜淘宝上卖代理的。
去试试 Tor？
甚至是，有一大批肉鸡？

最后因为太忙了，没坚持折腾。

仅分享。

jianghu52

2013-11-20 17:52:03 +08:00

吼吼。所以说用古诗拼音外带大小写区分是非常有用的。关键是一首诗能用四个地方呢。

jianghu52

2013-11-20 17:53:32 +08:00

@aveline 你这24位随机密码能被破解是什么概念！！！！

coolcfan

2013-11-20 18:02:49 +08:00

@cloudqq 比如帐号里有从公司私有项目fork出来的项目。。。

yylzcom

2013-11-20 18:07:40 +08:00

@jianghu52 估计是和其它地方的密码重复了？ o.0
要不然怎么可能纯暴力穷举破解？

Semidio

2013-11-20 18:14:46 +08:00

a day ago user.failed_login: Originated from 115.124.92.254
2 days ago user.failed_login: Originated from 190.206.237.133
2 days ago user.failed_login: Originated from 117.36.50.52
2 days ago user.failed_login: Originated from 190.78.188.7
3 days ago user.failed_login: Originated from 186.94.91.65

hui314

2013-11-20 18:29:40 +08:00

果然我也有...
a day ago user.failed_login: Originated from 190.203.241.16
2 days ago user.failed_login: Originated from 190.75.49.190
2 days ago user.failed_login: Originated from 82.196.169.249
3 days ago user.failed_login: Originated from 201.242.126.249
3 days ago user.failed_login: Originated from 201.74.150.247

weakish

2013-11-20 19:38:46 +08:00

@aveline 我的37位密码没事……

aveline

2013-11-20 19:54:17 +08:00

@jianghu52
@zhttty 我看了一邊 LastPass 登錄記錄沒有，真奇怪了。

GitHub 登錄的 IP 的巴黎的，我沒有 VPN 出口是在這裡的，然後使用的操作系統是 OS X 10.8 瀏覽器是 Firefox，我 DP1 的時候就升級了肯定不是我。

nsa

2013-11-20 20:53:01 +08:00

GitHub XRP Giveaway使用后就有这个

a day ago user.failed_login: Originated from 192.116.149.58
a day ago user.failed_login: Originated from 93.84.16.150
a day ago user.failed_login: Originated from 201.242.76.149
a day ago user.failed_login: Originated from 117.59.224.58
a day ago user.failed_login: Originated from 117.59.224.58

biaobiaoqi

2013-11-20 22:58:31 +08:00

@gullon
细思恐极-，-