检测到违规后 911 代理服务爆炸 – Krebs on Security

911 服务一直存在到 2022 年 7 月 28 日。

911[.]re，自 2015 年以来销售的代理服务访问了数十万 微软Windows Computer Daily 本周宣布，由于数据泄露破坏了其业务运营的关键组成部分，该公司将关闭。 突然关闭十天后，KrebsOnSecurity 发布了对 911 及其与按安装付费的可疑附属程序的深入研究，该程序秘密地将 911 代理程序与其他地址（包括“免费”实用程序和盗版软件）结合在一起。

911[.]重复 他是 它是最初的“住宅代理”网络之一，允许某人租用住宅 IP 地址作为其 Internet 通信的中继，提供匿名性和被视为住宅用户浏览 Web 的优势。

住宅代理服务通常面向那些寻求能够规避电影和媒体流提供商的国家特定禁令的人。 但有些——比如 911——部分地通过提供“免费 VPN”或“免费代理”服务来构建他们的网络，这些服务由将用户的计算机变成其他用户的流量中继的软件提供支持。 在这种情况下，用户已经获得了免费的 VPN 服务，但他们往往没有意识到这样做会将他们的计算机变成一个代理，允许其他人使用他们的 Internet 地址进行在线交易。

从网站的角度来看，住宅代理网络用户的 IP 流量似乎来自租用的住宅 IP 地址，而不是来自代理服务客户端。 这些服务可以合法地用于多种商业目的 – 例如价格比较或销售信息 – 但被广泛滥用以掩盖网络犯罪活动，因为它们可能难以将恶意流量追溯到其原始来源。

如中所述 Crips on Security 故事 7 月 19 日 911代理服务运行了几个按安装付费的系统，这些系统促使附属公司偷偷地将代理程序与其他程序关联起来，不断为服务创造稳定的新代理流。

缓存闪存更新[.]大约 2016 年的网络，这表明付费安装联盟计划的主页刺激了 911 代理的静默安装。

在这个故事发生后的几个小时内，911 在其网站顶部发布了一条通知，称：“我们正在审查我们的网络并添加一系列安全措施以防止滥用我们的服务。代理充值已关闭，新用户注册正在已关闭。我们会审核每个现有用户，以确保他们的使用合法且 [in] 遵守服务条款。

在这个广告中，它在各种网络犯罪论坛上都爆发了，许多老 911 客户报告他们无法使用该服务。 其他受中断影响的人表示，911 似乎试图实施某种“了解你的客户”规则——也许 911 只是试图清除那些使用该服务进行大量网络犯罪活动的客户。

然后在 7 月 28 日，911 网站开始重定向到一个通知，上面写着：“我们很遗憾地通知您，我们已于 7 月 28 日永久关闭 911 及其所有服务。”

据911报道，该服务于7月初被黑，发现有人篡改了大量用户账户的余额。 911 表示，当用户向该服务存钱时，黑客滥用了一个处理超载账户的 API。

911 消息中写道：“我不确定黑客是如何进入的。” “因此，我们紧急关闭了充值系统，注册了新用户，并展开了调查。”

2022 年 7 月 28 日发布在主页上的 911 告别信息。

911表示，虽然黑客进来了，但他们也能够覆盖关键的911[.]恢复服务器、数据和该数据的备份副本。

声明继续说：“7月28日，大量用户反映无法登录系统。” “我们发现服务器上的数据被黑客恶意破坏，导致数据和备份丢失。是 [sic] 他证实，充电系统也以同样的方式被黑客入侵。 由于丢失了使服务无法恢复的重要数据，我们不得不做出这个艰难的决定。”

911 主要在中国境外运营，已成为许多网络犯罪论坛中非常受欢迎的服务，并且在两个长期的 911 竞争对手（基于恶意软件的代理服务）之后，已成为该社区的关键基础设施。 贵宾72 和 力士袜 – 他们去年关门了.

现在，许多依靠 911 进行操作的犯罪论坛都在大声询问是否有与 911 提供的规模和实用性相称的替代方案。共识似乎是响亮的“不”。

我想我们可能很快就会更多地了解导致 911 爆炸的安全事件。也许会出现其他代理服务来满足目前对此类服务日益增长的需求，而供应相对短缺。

同时，由于许多代理服务的前代理争先恐后地做出安排，911 的缺席可能与互联网顶级目的地（包括银行、零售商和加密货币平台）的不需要的流量出现可测量的（尽管只是短暂的）延迟相吻合。 .

莱利·基尔默代理跟踪服务的联合创始人 斯皮罗斯他说，短期内很难复制 911 网络。

“我猜 [911’s remaining competitors] 短期内你会得到很多支持，但最终会出现新玩家，”Kilmer 说。“这些都不是 LuxSocks 或 911 的好替代品。但是，它们都将允许任何人使用它们。 至于诈骗率，尝试将继续，但这些替代服务应该更容易监控和停止。 911 有一些非常干净的 IP 地址。 “

911 并不是唯一一家披露本周与未经身份验证的 API 相关的黑客攻击的主要代理提供商：7 月 28 日，KrebsOnSecurity 报道称 在 Web 上呈现的内部 API 从 Microleaves 的客户数据库中泄露，这是一种代理服务，每五到十分钟轮换一次其客户端的 IP 地址。 这项调查表明，Microleaves 和 911 一样，长期以来一直使用按安装付费的方案来传播其代理软件。