• 可怜的Discuz,幸运的PHPwind?!------一场闹剧

    post by Holmesian / 2009-1-9 12:15 Friday
    昨天全国上下各大使用Discuz论坛程序的论坛 几乎都遭遇了“Hacked by ring04h, just for fun”的洗礼

    被攻击后的论坛首页只剩下这一行“Hacked by ring04h, just for fun”

    初步了解了一下事情的经过  ring04h是邪恶八进制的资深人士

    先抛开这此相关的攻击事件是否真的与ring04h有关  因为今年与去年有关“Hacked by ring04h, just for fun”的事件已经成千上万了…………(不了解的自己百度一下Hacked by ring04h, just for fun)

    下面就个人观点谈谈这次“Hacked by ring04h, just for fun!”事件的看法

    首先在网上搜到了相关的漏洞说明

    以下为ring04h写的php allow_url_fopen bypass 漏洞说明:
    [quote]
    URL file-access is disabled
    index.php
    <?php
    include $path."config/config.inc.php";

    c:\config\config.inc.php
    <?php
    phpinfo();

    POC:http://www.*****.org/index.php?path=file:///\\127.0.0.1\C$\

    net share:
    C$           C:\

    通过Windows file协议访问网络文件,成功bypass allow_url_fopen
    经过测试,Linux同样也可以通过系统自带协议bypass allow_url_fopen

    所谓的 资源->协议

    [/quote]
    一开始看到这些东西

    还真以为是利用了什么新的手段 达到了所谓的 程序》资源》协议 式攻击的程度

    貌似看上去是通过所谓的windows的共享模式管理导致的写数据问题问题   导致最终首页的seo相关头部变量被替换成“Hacked by ring04h, just for fun”的值,想到这里都有些小兴奋,以为八进制那边能从所谓的共享方面做出了一些手脚。接下来大面积网络搜索相关信息,发现原来是一场闹剧,这次所谓的 “Hacked by ring04h, just for fun!”事件只是Discuz官方的一个升级域名被劫持导致的。。。

    换言之,虽然去年和今年之前有关“Hacked by ring04h, just for fun!”攻击事件或许的确与相关Discuz或者PW的程序的未公布的漏洞有关,但这次“Hacked by ring04h, just for fun!”事件并不是Discuz程序的问题,也不是WIndows系统共享方面管理的问题,仅仅是一个所谓泛旁注的域名劫持+广大站长人云亦云产生的闹剧。。。

    以下是官方的声明


    [quote]1月8日11:38分,部分站长发现论坛首页出现“Hacked by ring04h, just for fun!”的提示。针对用户反馈,康盛创想官方立即组织技术人员对论坛程序进行安全排查,并未发现相关站点的程序漏洞。

    11:54分,官方安全部门发现站点 http://customer.discuz.net 域名被劫持,指向一台攻击者控制的服务器(203.86.236.236)。Customer 站点是 Discuz! 用于发送论坛补丁和安全补丁通知的紧急接口。黑客首先利用 Discuz.net 域名服务商的漏洞,登陆并修改了 Customer 的域名地址,并事先写好了一段攻击代码存放在一台服务器上。当站长登陆进入论坛后台首页时,由于论坛通知服务器的域名被劫持到新服务器上,从而使得攻击代码运行,模仿站长的身份,提交并修改了论坛的 seo 设置。从而造成论坛无法正常访问。

    官方立即修改被劫持域名。11:55分,被劫持域名的重新定向工作完成。

    12:15分,官方论坛发放恶意代码清除方法和工具(http://www.discuz.net/thread-1183991-1-1.html)。

    本次事件仅涉及到域名劫持期间登陆管理后台的站点,Discuz.net 官方论坛和绝大多数论坛未受影响。

    同时,受影响站点也可以采用手工修复的方法清楚恶意代码。您可以进入管理后台-全局设置-优化设置-搜索引擎优化,查找代码

       1. <script>function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init;</script>

    复制代码
    然后手工去掉此段代码,论坛即可恢复正常访问。

    域名是互联网基础服务,本次安全问题系由域名劫持造成,Discuz! 各版本软件代码在安全上并无问题,故 Discuz! 官方除了发布恢复方法及恢复工具以外并没有新的补丁发布。[/quote]

    原文见http://www.discuz.net/thread-1184256-1-1.html


    所以网上的消息最多只能听信70%,就像看到CB上每天报道那么多乱七八糟的事情,其实具体的事情原由还需要通过自己去了解,去判断,去伪存真才能不因为人云亦云而让真相含雪。。。
    标签: 解决方法 漏洞 phpwind discuz ring04h 闹剧 | 吐槽(0)