RSS Feed
更好更安全的互联网

说说这周遇到的后门事件

2013-05-07

1.

首先是emlog个人博客系统,前天(2013.5.3)我们发出了后门预警,官方很快通过微信和我联系上了,并及时完成响应,今天看到官方发出公告专门进行了感谢:

http://bbs.emlog.net/thread-29021-1-1.html

这都比较正常,奇怪的是,这期间有一些人在质疑我们,说我们扯淡。emlog官方发了感谢后,还有人疑问我们SCANV怎么能第一时间发现的?

好吧,还是骄傲地说下吧:是这样的,SCANV网站安全中心(

www.scanv.com)背后的团队是“知道创宇安全研究团队”,外面的人根本想不到,这个团队有多强悍的漏洞响应流程,“第一时间发现”已经太多太多次了,每周都至少1次小高潮,对这个团队来说太正常不过,有些人只喜欢意淫在自己的世界里,这怀疑,那怀疑,那是你的权力,而,我们的漏洞响应是我们的权力,我们因此帮助到了很多很多人。

其他不多说,有时候出现矛盾不可避免,我们还有很多提升空间。

emlog被植入后门的过程比较值得警惕,官方描述的原因如下:

我们检查后发现由于管理团队某位管理员(那多记忆)的Evernote帐号被黑客破解导致Emlog服务器信息泄露,黑客靠着泄露的相关帐号登陆emlog官网服务器将官网提供emlog源码包中添加了后门代码。

2.

今天大周日的,我们又响应了CmsEasy的一个任意文件上传(网上已经公开了),我们的研究员说这0day看着就像一个后门,可以直接拿下网站权限,@SCANV网站安全中心 微博、论坛等已经完成了响应并给出了解决方案,希望官方及时跟进。

3.

大前天(5.2),我发了篇预警文章“[警惕]高级钓鱼攻击来了:拍拍XSS攻击”,很快黑产的目标服务器就成了“马场”,好几路人马都一窝蜂地搞,这黑产就这样悲催的收场了。

有人还鄙视说这个XSS攻击有什么好说的,说还有更牛逼的,最后还补充“对事不对人,欢迎pk”。

我管你是不是真有更牛逼的,我只知道没实战就没话语权,这次的拍拍XSS钓鱼攻击,我们发现:1个月内,有10w左右的用户受影响(Cookie被盗)。即使你手上有再牛逼0day,再牛逼idea,没这样去执行,没“工程化”,那什么都不是。就如“e=mc^2 --> 曼哈顿原子弹计划”,如果没执行起来,这个公式只能意淫。而且还得知道一点:没有什么0day/idea能等同“e=mc^2”这个公式,意淫也能让人很爽。

本文也对事不对人,然后我的态度一直是“敬佩黑产技术与运作,并非黑产行为”。

 

----------分割线----------

 

这里的文章会首发在我们的官方微信账号:网站安全中心(ID:wangzhan_anquan),大家如果感兴趣这篇科普,请帮忙传播。我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们。

科普改变世界,我们一起努力让这个互联网更好更安全吧!

本文由知道创宇安全研究团队-余弦撰写。

作者:一鸣 燕 | Categories:技术分享 | Tags:

一条评论

  1. s7ool说道:

    要知道emlog论坛里面现在盆子多如牛毛的!

发表评论