查看完整版本: Discuz!服务器域名被劫持 用户网站遭大面积攻击

Discuz!服务器域名被劫持 用户网站遭大面积攻击

[img]http://www.wangyeba.com/news/UploadFiles_6206/200901/20090108165613313.jpg[/img]

1月8日消息，由康盛创想公司开发的国内知名论坛程序Discuz!今日又爆出漏洞，官方称其论坛通知服务器域名遭黑客劫持，导致使用Discuz!程序的论坛大面积遭到黑客攻击。


　　事件的特别之处在于，所有被黑的网站首页均出现一行文本“Hackedbyring04h，justforfun！”显示此事件均为同一黑客或组织所为，有部分站长猜测这一事件可能是Discuz!程序开发者预留的“后门”遭到了黑客的利用所致。在Discuz!官方论坛有大量受害的站长发帖求助，报告其网站遭到了攻击。


　　Discuz!官方中午发布公告称，事故的原因已经查明，并强调出现的这一问题与程序本身没有关系，而是康盛创想的论坛通知服务器域名遭到劫持，黑客在服务器端放入了攻击代码，当论坛的管理用户登录后台时会自动运行该攻击代码，进而对论坛的seo设置进行修改，造成论坛无法正常访问。


　　Discuz!官方称已对案发全过程进行证据保全和公证，并保留追究攻击者法律责任的权力。


　　据悉，Discuz!是中国最大的论坛社区系统，在全国拥有80万以上的用户，互联网上大部分论坛都采用该论坛程序搭建，像常见的有：落伍者论坛、理想在线等。杭州19楼论坛、央视国际、凤凰网、等大型论坛和地方门户论坛也都采用Discuz!搭建。(Witness)


　　以下为康盛创想(Discuz!)官方对该事件的解释及提供的解决方案：


　　1月8日11:38分，部分站长发，论坛首页出现“Hackedbyring04h,justforfun!”的提示。针对用户反馈，康盛创想官方立即组织技术人员对论坛程序进行安全排查，并未发现相关站点的程序漏洞。


　　11:54分，官方安全部门发现站点[url=http://customer.discuz.net]http://customer.discuz.net[/url]域名被劫持，指向一台攻击者控制的服务器(203.86.236.236)。Customer站点是Discuz!用于发送论坛补丁和安全补丁通知的紧急接口。黑客首先利用Discuz.net域名服务商的漏洞，登陆并修改了Customer的域名地址，并事先写好了一段攻击代码存放在一台服务器上。当站长登陆进入论坛后台首页时，由于论坛通知服务器的域名被劫持到新服务器上，从而使得攻击代码运行，模仿站长的身份，提交并修改了论坛的seo设置。从而造成论坛无法正常访问。


　　官方立即修改被劫持域名。11:55分，被劫持域名的重新定向工作完成。


　　12:15分，官方论坛已经发放代码清除产品包（[url=http://www.discuz.net/thread-1183991-1-1.html]http://www.discuz.net/thread-1183991-1-1.html[/url]）。此次域名劫持事件未涉及官方Discuz.net论坛，仅有期间8分钟内登陆管理后台的部分站点受到影响站点，可参照官方论坛提供的方法修复。


　　（手工修改方法。Discuz!后台相关seo设置当中被人插入functioninit(){document.write('Hackedbyring04h,justforfun!');}window.onload=init;，去掉以后即可。）


　　域名是互联网基础服务，本次安全问题系由域名劫持造成，Discuz!各版本软件代码在安全上并无问题，故Discuz!官方除了发布恢复方法及恢复工具以外并没有新的补丁发布。


　　此次域名劫持所造成的安全问题，是一次严重的攻击行为，其行为已违反相关法律法规。根据全国人大常委会于2008年12月22日开始审议的《刑法》修正案(七)草案中相关条款，此类攻击行为属于被政府严厉打击的犯罪行为。Discuz!官方已对案发全过程进行证据保全和公证，并保留追究攻击者法律责任的权力。

看来使用dz的程序的网站要注意了，既然hacker可以进行这样的操作，那dz本身想要对所有程序的使用者做点什么还不是驾轻就熟？

刚刚意识到sis用的就是dz啊，论坛的老大们一定要小心，及时的备份数据，千万可别让人给毁了

如果是域名被劫持，那么所有自动升级的程序都可能出现这个问题。应该引起提供升级服务的其他软件公司的重视。
同时，域名劫持的危害比钓鱼网站更可怕，比如网上银行被劫持……不敢想象啊。
更重要的问题是，出现这样的事情，谁来负责？

那今天，我从原来的地址上不了这个论坛，是不能也是被攻击的原因呀