背景新闻:Github疑遭来自防火长城的大型DDoS攻击
0x00 背景
今天中午刷着全国最大的信息安全从业人员同性交友社区zone.wooyun.org的时候,忽然浏览器每隔2秒就不断的弹窗:
malicious javascript detected on this domain
Image may be NSFW.
Clik here to view.
我第一反应就是不知道哪个调皮的基友又把zone给XSS了,马上打开开发者工具分析。
0x01 细节
之后立刻发现弹窗的js居然是从github加载的:
Image may be NSFW.
Clik here to view.
可是为什么乌云会从github加载js呢,并且还是从greatfire和纽约时报镜像加载。
第一反应是页面有xss或者js被劫持了,找了半天终于找到了,居然是
hm.baidu.com/h.js
这个js的确被乌云加载了没错,这是百度统计的js代码,打开后里面是一个简单加密后的js,eval了一串编码后的内容,随便找了个在线解密看了下,发现如下内容:
Image may be NSFW.
Clik here to view.
大概功能就是关闭缓存后每隔2秒加载一次
url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];
里面的两个url
问了下墙内的小伙伴们,他们看到的js都是正常的,但是通过墙外ip访问
http://hm.baidu.com/h.js
就会得到上面的js文件,每隔2秒请求一下这两个url。
打开twitter看了下,似乎从3月18号以来Github就受到了DDoS攻击,之后greatfire把被攻击的页面内容换成了
|
1
|
alert("WARNING: malicious javascript detected on this domain") |
以弹窗的方式阻止了js的循环执行。
Image may be NSFW.
Clik here to view.
图3 国外ip traceroute到hm.baidu.com的记录
似乎DNS并没有被劫持,看来是像之前一样直接把IP劫持了或者直接在HTTP协议里替换文件。
Image may be NSFW.
Clik here to view.
扫了下端口,只开了80和443,通过https协议访问后是正常的空页面(只有带referer才会出现js文件)。
Image may be NSFW.
Clik here to view.
作者要进行抓包分析时劫持已经停止,在twitter上看到有人已经分析过引用如下:
抓包跟踪,正常百度服务器返回给我日本VPS的TTL为51, RESP返回HTTP 200 OK的报文的TTL是47,可以确定的是有中间设备对VPS发了伪造报文。
Image may be NSFW.
Clik here to view.
真是无耻,呵呵
忽然想起一句话,之前DNS被劫持到外国服务器的时候某站长说的:
They have weaponized their entire population.
现在应该是:
They have weaponized their entire population of the Earth.
© Sandra F. for 中国数字时代, 2015. |
Permalink |
No comment |
Add to
del.icio.us
Post tags: CNNIC, GFW, github, 中国互联网络信息中心, 境外势力, 天朝, 强国, 网络封锁, 网络攻击, 防火长城
订靠谱新闻 获穿墙捷径 请发电邮(最好用gmail)至:sub@chinadigitaltimes.net