作者 主題: [無差別式大規模木馬植入]某些 ISP 疑似被 hijacking 攻擊  (閱讀 6197 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
詳細內文請參閱:

http://blog.richliu.com/2009/03/05/743/#more-743

目前,發表者指出,疑似被攻擊的目標網址如下:
http://www.msn.com.tw
http://tw.msn.com
http://taiwan.cnet.com

(三子:上面這幾台主機似乎都託管在某ISP管理之下... 所以目標如此明顯)



簡單節錄其結論如下:
引用
所以不論你用的是 IE/Firefox 還是 Windows XP/Vista or Linux
不管 Server 是 IIS 或是 Apache
統統都有可能被導向到新的網站.

從有限的資料
1) Hinet 3IP/ADSL
2) 大陸
有可能被導向
TANET 似乎沒有問題.

有網友猜測是
1) 被種木馬
2) ROOT DNS 攻擊
3) DNS Cache 攻擊
個人看法統統都不是, 因為我連的 IP 仍然是 taiwan.cnet.com 和 tw.msn.com 的 IP. 而有問題的封包是搶在 SERVER 回應之前送來的.

從 Packet 回傳的 delta time 來看, 個人猜測可能狀況為下
1. Hinet 和大陸到 taiwan.cnet.com 和 tw.msn.com 的 ISP 被 mirror port, 偵側到 GET HTTP/1.1 隨機送出網址
2. Abovenet 被破台了, 木馬是種在 Abovenet Transparent proxy 內. (會猜 Abovenet 是因為這二家都是很大家的入口網站)

後續發展就需要再觀察了, 這段期間請大家小心,
尤其是 hinet 的用戶. cnet.com 和 msn.com 暫時就不要去了, 到 Google 多好, 沒事.
儘量不要用主流的瀏覽器, 像是 IE. 可以省掉不少潛在的風險.

網路是很危險的, 也是很脆弱, Internet 不如我們想像中安全呀~~~

如果你有疑似連上上述網站,但會被導引到奇怪網頁的,請即刻檢查你電腦是否有被植入攻擊木馬!

-----
感謝  分同 同學友情告知這項消息,特此銘謝!
« 上次編輯: 2009-03-06 10:45 由 日京三子 »
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
剛剛聽朋友說
他的朋友昨天有碰到這情形
開msn首頁(?)就被立即導到其他網站

Jerry Liu

  • 鑽研的研究生
  • *****
  • 文章數: 536
  • 性別: 男
    • 檢視個人資料
我公司昨天也有這現象,用的是hinet 光世代...

水泥森林中的狼

好懷念的暱稱啊 .................