2012年5月31日晚红盟“被黑”事件分析

90_ · 发表于 2012-5-31 23:59:58

事件：中国红客联盟网站“被黑”
时间：2012年5月31日晚

1.事件背景
2.应急响应与分析
3.事件启事与总结

1.在“六·一”儿童节前夜，我们的站点遭到了攻击，几名未知性别的黑客涂鸦了我们的首页，事情发生后很多朋友对我们被攻击的事情表示很关心，各种猜测都有，感谢攻击者在儿童节前夕给我们的礼物。

2.事件发生后的5分钟后，我们登录到服务器，一开始我们怀疑是dz程序出了0day，但是转念一向，攻击者只是涂鸦了首页的静态页面，并没有对forum.php页面造成影响，外加数据依然存在，根据网站目录来看，首页文件的修改日期没有变动，所以我们认为不是**到了服务器。
打开防火墙查了下日志，发现防火墙拦截了不少ARP欺骗包，大概持续了5分钟左右，看来这次攻击事件属于劫持。通过http访问日志我们发现，有来自南京和韩国的ip在这个时间段访问过我们首页，根据攻击者的心里，劫持工具一旦打开，攻击者就会第一个查看目标是否被拿下，但是由于访问者较多，我们也不能绝对的锁定是哪个ip。

3.经过15分钟的调查取证，我们将此次攻击事件定义为“劫持”。感谢攻击者对我们的关注，也让我们发现了C段服务器的安全做的不是很好，红盟有了你们才可以继续进步！

此次攻击事件并未对红盟站点数据造成任何损害。

Free_小东 · 发表于 2012-6-1 10:24:52

本帖最后由 Free_小东于 2012-6-1 10:29 编辑

又见ARP.不是独立服务器吗

N.O · 发表于 2012-6-1 17:03:55

我日啊，日啊

野驴~ · 发表于 2012-6-1 20:31:15

Free_小东发表于 2012-6-1 10:24
又见ARP.不是独立服务器吗

ARP是针对C段的，独立服务器也可能被劫持

岑逸 · 发表于 2012-6-2 08:29:34

嗯，那就是有好的检测了。。呵呵，我看到了那个留言。。。那群孩子为了出名吧应该，呵呵把自己的名字都留在上边了。。。

华丽舞步 · 发表于 2012-6-2 18:57:58

是不是属于安全检测了

Lizard · 发表于 2012-6-2 20:55:16

C段劫持，红盟有待进步。加油

guqiming · 发表于 2012-6-4 23:55:38

希望红盟今后能加强自己的安全防御系统。

a1144641354 · 发表于 2012-6-13 05:45:49

亲.他们技术一般.要不然怎么不劫持域名啊

China国宝 · 发表于 2012-6-24 10:58:07

那天为什么没有具体结果呢第二天才可以登录啊

2012年5月31日晚红盟“被黑”事件分析

评分

浏览过的版块

指导单位

旗下站点

联系我们