-
-
3684个中国政府站点被黑分析
-
发表于: 2014-2-17 11:31
-
新闻链接:http://www.freebuf.com/articles/web/26132.html
新闻时间:2014-02-17
新闻正文:
事件回顾:3684个中国政府站点遭阿尔及利亚黑客组织Barbaros-DZ入侵,阿尔及利亚黑客组织Barbaros-DZ在被黑站点统计(Zone-h)上放出了入侵的大批中国政府站点,其中包括中央委员会、中国秘书处等站点,Barbaros-DZ是阿尔及利亚的一支黑客组织,成员包括Bb0yH4cK3r_Dz,Dz Mafia, Ked Ans,Tiger-M@te, yasMouh,黑客没有公布详细的入侵细节。
GOOGLE搜索了关键字Barbaros-DZ,确实出了一大批站点,这一大批网站中,分析了一下网址:黑客组织不管其中站点的内容,教育还是政府,只管链接名里是否有GOV,从此可以得出,这个黑客组织目标明确——中国政府。从他们的攻击对象可以看出,这更像是一个外国组织,并不是国内黑客组织自娱自乐。如果是国内黑客想出名,首先应当选择名气较大的政府站。其次这一批站是挂在ZONE-H上,更加增大了是国外黑客的概率。另一方面,组织的名字叫Barbaros,我查了一下阿尔及利亚的官方语言是阿拉伯语,但也精通柏柏尔语,说明很大的可能是正确报道,并非国内黑客炒作(barbaros——柏柏尔)
我也顺着这些被黑的网站顺藤摸瓜看了一下,基本大多都是powereasy的模版,而动易又是国内的产品,所以他们很有可能分析过国内动易的源码,或者是搜索了动易的0DAY。
而又能同时拿下这么多站,总计3000多个站, 从漏洞最有可能存在的方面来说,有上传,POST,绕过,注入。但是看他们的“黑页”的手法来说,只是简单的修改一下某一个页面的标题,内容,USERID内容,这些证据可以排除上传漏洞。
我看了他们的很多“黑页”,从挂“黑页的内容来说,他们都是通过手工来改,并非批量替换,因为从某两个界面看得出(如下),同样的是动易的模版,却用了不同的语言。
新闻时间:2014-02-17
新闻正文:
事件回顾:3684个中国政府站点遭阿尔及利亚黑客组织Barbaros-DZ入侵,阿尔及利亚黑客组织Barbaros-DZ在被黑站点统计(Zone-h)上放出了入侵的大批中国政府站点,其中包括中央委员会、中国秘书处等站点,Barbaros-DZ是阿尔及利亚的一支黑客组织,成员包括Bb0yH4cK3r_Dz,Dz Mafia, Ked Ans,Tiger-M@te, yasMouh,黑客没有公布详细的入侵细节。
GOOGLE搜索了关键字Barbaros-DZ,确实出了一大批站点,这一大批网站中,分析了一下网址:黑客组织不管其中站点的内容,教育还是政府,只管链接名里是否有GOV,从此可以得出,这个黑客组织目标明确——中国政府。从他们的攻击对象可以看出,这更像是一个外国组织,并不是国内黑客组织自娱自乐。如果是国内黑客想出名,首先应当选择名气较大的政府站。其次这一批站是挂在ZONE-H上,更加增大了是国外黑客的概率。另一方面,组织的名字叫Barbaros,我查了一下阿尔及利亚的官方语言是阿拉伯语,但也精通柏柏尔语,说明很大的可能是正确报道,并非国内黑客炒作(barbaros——柏柏尔)
我也顺着这些被黑的网站顺藤摸瓜看了一下,基本大多都是powereasy的模版,而动易又是国内的产品,所以他们很有可能分析过国内动易的源码,或者是搜索了动易的0DAY。
而又能同时拿下这么多站,总计3000多个站, 从漏洞最有可能存在的方面来说,有上传,POST,绕过,注入。但是看他们的“黑页”的手法来说,只是简单的修改一下某一个页面的标题,内容,USERID内容,这些证据可以排除上传漏洞。
我看了他们的很多“黑页”,从挂“黑页的内容来说,他们都是通过手工来改,并非批量替换,因为从某两个界面看得出(如下),同样的是动易的模版,却用了不同的语言。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
