2003年11月15日(星期六)上午9点左右,仍在睡梦(我的爱好之一:)中的我突然被手机声唤醒,原来是《黑客X档案》的主编zero给我打来的电话,说我论坛的页面被改了,按照常理说,我应该很吃惊的,毕竟在国内很多人对我的站点虎视眈眈啊,记得很多黑客爱好者新手对我说过:“将来我一定要打败你!”,我一般都乐呵呵地回答:“我相信你一定能做到!但你必须付出努力”,这是可以理解的,长江后浪推前浪,江山代有才人出嘛!而事实上我对此一点都没有感到吃惊,这就让很多人会感到奇怪了,你作为国内知名的安全专家,自己的网站页面被改,这么没面子的事,你咋能这么耐的住呢?这要听我慢慢说来。
关于我的历史我不想说太多了,自从2000以来,我就在专业安全公司为国内的企业提供安全产品和服务了,更多的时间投入到了项目管理和新产品的设计研究上,所以,近两年来我也很少写文章和出软件作品了,就是有一些也是很业余的,甚至粗糙,其实根本原因就是因为工作太繁忙,这是没办法的事情,生存第一嘛!其实更重要的是,作为公司的技术总监其责任要远比一名安全爱好者要多的多,要负责公司安全服务体系的设计,不了解国内外的安全标准行吗?要负责安全项目的组织和管理,不学习项目管理可以吗?要负责产品的设计和规划,不研究产品技术和原理行吗?... 人的精力是有限的!白天我把自己的时间几乎全部用在了工作上,只有夜晚属于我的,才得以和朋友交流最新的安全漏洞和技术等,但除去睡眠时间,可用的太有限了!
剑客站点是我从1999年10月1日做起来的一个个人站点,最早就是为了发布一下自己的文章和作品,但后来因独特的个性和实用的内容逐渐被朋友们所喜爱,每天的PageView达到了几万次,成为了大家交流技术和生活心得的一个场所,根据需要从2001年起我为之单独租用了服务器,增加了技术文章、常用软件、作者专栏和论坛社区等栏目,以期望大家有更好的交流场所,但由于投入的资金不可能太多,所以服务器的带宽很窄,窄到什么程度呢?我专门做过测试,也就是说用1台ADSL拨号的电脑使用SYNFlood攻击就可以导致服务器停止提供服务。这是没有办法的事情,因为毕竟资金有限,剑客站点作为一个全免费的基本不做广告的站点,却拥有独立的域名和服务器,这对于很多网站而言已经很不错了,并且剑客站点还在可承受的范围内为一些朋友提供50M以上的免费Email。
在网站栏目的扩展和大家享受更多免费服务的同时,剑客网站的安全风险也在增大,做为安全技术人员,我很早就意识到了这点,事实上剑客网站采用了网上常见的免费文章系统、下载系统和论坛系统等,大家也都知道这些脚本程序的代码量很大,里面存在很多编码不严谨的地方,经常是堵了老漏洞又出了新漏洞,我不可能为自己去写这些系统,也不可能把它们的代码统统去检查一遍,根本原因是我的业余时间太少了,我曾经尝试做了一些,但一个星期也就才修改了很少一部分,实在太有限了,所以就放弃了。
记得在过去,大家研讨黑客技术都是以取得对方系统的管理员权限为目的,现在不同了,有些人把更换对方的页面做为目的了,就象是敌我双方打仗一样,常规的判定打胜对方的标准是控制对方的阵地并俘虏对方的士兵,但现在被这些人换成了只要能偷偷潜入对方阵地,贴上一个“这里被我占领了!”的纸条就算胜利了,这不是有掩耳盗铃、自欺欺人的意味么?
事实是:剑客站点经历了无数次的攻击,但至今没有人获得管理员权限!
实际上,剑客站点完全可以做的非常安全,那就是把全站做成静态页面或者是亲自编写严谨的脚本系统,但是选择前者的话,大家交流的场所就失去了,这是可悲的,若选择后者由我本人来做是不现实的,其实最好的就是关闭站点,这样对我的名声上可能会很有好处,但大家也就永远的失去了这样一个交流的场所,我想这是剑客200万以上的访客和近2万的论坛用户所不愿看到的,因此,我选择了面对风险,在系统级做了安全处理后仍然保持网站开放,但仍然面临着应用层次的攻击... 并且由于仍然是时间问题,网站的管理一直由onebull、开心、孤独侠客和水晶等朋友维护管理。
今年5月份N.E.V.E.R朋友在黑客基地(www.hackbase.com)发表的文章《我是这样渗透入侵孤独剑客网站(www.janker.org)的》,就暴露出了文章和下载系统存在的问题,经过他修改后在一定程度上起到了安全作用,但遗憾的是论坛系统并没有得到安全处理,其实论坛的问题早就存在了,在论坛的公告信息里面:
=================================================
祝今天参加程序员考试的兄弟们顺利过关!
[1] [2]
发布人:孤独剑客 发布时间:2003-10-12 19:37:55
=================================================
这消息不是我发布的,后来一位朋友在QQ上告诉我是他发的,我说谢谢他免费管理!是的,我的确没有更改,甚至由于不是恶意的,连删除都没有做,自然也没做什么处理,也就是说漏洞依然。
大约从今年7月份开始,随着用户量的增加,很多用户反应论坛速度越来越慢,这时候“黑客基地(www.hackbase.com)”为我提供了高速空间,于是我就把bbs.janker.org放在了它们的服务器上,并由它们负责管理和维护。其实几个月以来,剑客网站(www.janker.org)经常被DDoS所攻击,一直到最近北京下了场雪后,机房光纤被压断,导致连续几天无法访问,当时我刚好也在出差在外,没有办法,等光纤恢复后服务器因为连续运转了两年多硬件又出现了故障,一时无法恢复,所以我干脆www.janker.org指向了bbs.janker.org,以便大家仍然能够访问交流,但这就意味着,只要更改了论坛的脚本就好像替换www.janker.org页面,并且果然有人这么做了,传出去也就成了“剑客网站被黑了!!”,并且从留在页面上的话可以看出,剑客网站成了爱情的牺牲品,为的是献给某某女孩以展示其黑客水平,那么这种所谓的黑客技术果然值得炫耀吗?让我们分析一下其黑客过程。
1、从我的论坛最下方的“? 1999-2003 孤独剑客 感谢Rick提供”,判断出本论坛是“极限论坛”。
2、使用目前流行的SQL注入攻击方法获取论坛管理员“孤独剑客”或“开心”的密码。
3、通过http://bbs.janker.org/admin进入管理页
4、更改页面所有的颜色为黑色!(这里主要是隐藏其换不掉的部分)
5、更换论坛的logo图片地址为http://xxx/2003111535275752.jpg (这就是替换的页面其实就是一个大图片)
6、删除所有的栏目和数据(最卑鄙无耻的行为!确保首页无法替换的部分最少)
7、删除所有管理员用户(以达到延迟发现后页面恢复的时间)
从上面分析可以知道,除了发现极限论坛的SQL注入漏洞有些技巧以外,没有什么技术含量,并且这种漏洞已经出了很多,若用心的话,一个初中生完全可以做到,但并不是每个人都以这么无耻的手法去做,这就象杀人一样,大多数人都可以做到,若去战场杀敌,我们会称他为英雄,但若杀自己人,他就是罪犯,删除无辜数据更是真正黑客之大忌,为大家所不耻!
说到这次更换剑客论坛(bbs.janker.org)页面的styxfox,在不久前他更改华东师范大学主页的时候,我就想写篇文章发表一下感想,但仍然是工作繁忙无法静下心来整理思路,于是就拖了下来,今天就要说几句了。
从2001年的中美黑客大战的红客联盟出现和媒体不断的炒做后,国内黑客界就有一种趋势,可以说是一种可怕的趋势,那就是有些人为了出名,什么都敢做,不管道德,不顾法律!敢做其实并不可怕,关键是你用在何处,你真能把日本右翼的网站、**功的网站或者是分裂分子的网站黑掉、Format掉也就是了,大家都会为你叫好!遗憾的是他们做不到,贫乏的知识和能力注定了他们做不到。因此他们就把目标转向了国内网站,使用那些自动化的黑客工具或技巧,黑到谁算谁,于是一批这样的网站就遭殃了,华东师范大学的主页就是一个牺牲品,再就是利用一些国内黑客站点没有自己独立服务器无法控制安全的因素,攻击这些站点,于是红客联盟、黑白网络、牛族、小凤居等就遭殃了,那么对付换不了页面的怎么办呢?于是就DDoS,于是天天安全网、剑客网站、安全焦点就无法访问了,甚至嚣张到其他论坛大发言论“xxx站被我黑了”以希望出名... 遗憾的是知道真相后大家对他有的只是鄙视。
就目前而言,为出名而丧失道德的这种趋势有增无减,曾有不少人在QQ中问我:“我技术比红客联盟的lion强多了,为什么我就没他出名?”,我无语!同时也感到悲哀,媒体的导向害了一批人。想想我的好友冰河、FZK、小榕、GoodWell、天行、PP等,他们不是系统和管理专家就是编程高手,个个身怀绝技,若他们以那种道德沦丧的方式乱黑网站的话,只需一夜整个网络肯定能闹翻了天,但请你们看一看在国内那个被黑的国内网站上看到过他们的影子,你们所能看到的就是他们的编写的黑客软件在国外被所广泛使用并倍受赞誉,你们看到他们留名的地方都是国外反动分子的网站。
去年我曾为《黑客X档案》写过“为黑客正名”的序,呼吁国内不要再糟蹋黑客这个神圣的词语了,但遗憾的是在国内仍然不少人在肆意的践踏,记得国内有位程序员朋友曾写文章试问国内的所谓黑客,“你没上大学可以原谅,但你读过几个RFC?TCP/IP网络7层的准确名称是?Windows真的很简单?Unix你知道多少?确信会用c写程序?... ”,不想再说了,只是想忠告那些急于成名的伪黑客,醒醒吧!好好学习,学真的本事,把你的安全技能用于为国内企业提供安全服务,以捍卫祖国的网络长城,这才是人生价值最有意义的体现,否则等待你的也许将是冰冷的铁窗生涯。
(出处:http://www.sheup.com)
[1] [2]
去年我曾为《黑客X档案》写过“为黑客正名”的序,呼吁国内不要再糟蹋黑客这个神圣的词语了,但遗憾的是在国内仍然不少人在肆意的践踏,记得国内有位程序员朋友曾写文章试问国内的所谓黑客,“你没上大学可以原谅,但你读过几个RFC?TCP/IP网络7层的准确名称是?Windows真的很简单?Unix你知道多少?确信会用c写程序?... ”,不想再说了,只是想忠告那些急于成名的伪黑客,醒醒吧!好好学习,学真的本事,把你的安全技能用于为国内企业提供安全服务,以捍卫祖国的网络长城,这才是人生价值最有意义的体现,否则等待你的也许将是冰冷的铁窗生涯。
(出处:http://www.sheup.com)
[1] [2] [3]