2012年5月31日晚红盟“被黑”事件分析
事件:中国红客联盟网站“被黑”时间:2012年5月31日晚
1.事件背景
2.应急响应与分析
3.事件启事与总结
1.在“六·一”儿童节前夜,我们的站点遭到了攻击,几名未知性别的黑客涂鸦了我们的首页,事情发生后很多朋友对我们被攻击的事情表示很关心,各种猜测都有,感谢攻击者在儿童节前夕给我们的礼物。:)
2.事件发生后的5分钟后,我们登录到服务器,一开始我们怀疑是dz程序出了0day,但是转念一向,攻击者只是涂鸦了首页的静态页面,并没有对forum.php页面造成影响,外加数据依然存在,根据网站目录来看,首页文件的修改日期没有变动,所以我们认为不是**到了服务器。
打开防火墙查了下日志,发现防火墙拦截了不少ARP欺骗包,大概持续了5分钟左右,看来这次攻击事件属于劫持。通过http访问日志我们发现,有来自南京和韩国的ip在这个时间段访问过我们首页,根据攻击者的心里,劫持工具一旦打开,攻击者就会第一个查看目标是否被拿下,但是由于访问者较多,我们也不能绝对的锁定是哪个ip。
3.经过15分钟的调查取证,我们将此次攻击事件定义为“劫持”。感谢攻击者对我们的关注,也让我们发现了C段服务器的安全做的不是很好,红盟有了你们才可以继续进步!:)
此次攻击事件并未对红盟站点数据造成任何损害。
本帖最后由 Free_小东 于 2012-6-1 10:29 编辑
又见ARP.不是独立服务器吗 我日啊,日啊 Free_小东 发表于 2012-6-1 10:24 static/image/common/back.gif
又见ARP.不是独立服务器吗
ARP是针对C段的,独立服务器也可能被劫持 嗯,那就是有好的检测了。。呵呵,我看到了那个留言。。。那群孩子为了出名吧应该,呵呵把自己的名字都留在上边了。。。 是不是属于安全检测了 C段劫持,红盟有待进步。加油 希望红盟今后能加强自己的安全防御系统。 亲.他们技术一般.要不然怎么不劫持域名啊 那天为什么没有具体结果呢第二天才可以登录啊
页:
[1]
2