[01.08]关于 Discuz! 后台信息通知系统域名被劫持 部分站点受到影响的说明

小夏

<SPAN id=rlt_8 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=新闻',this.id)">新闻</SPAN>来源[s:4]iscuz!官网<BR>1月8日11:38分，部分站长发，<SPAN id=rlt_5 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=论坛',this.id)">论坛</SPAN>首页出现“Hacked by ring04h, just for fun!”的提示。针对用户反馈，康盛创想官方立即组织技术人员对论坛程序进行<SPAN id=rlt_7 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=安全',this.id)">安全</SPAN>排查，并未发现相关站点的程序<SPAN id=rlt_4 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=漏洞',this.id)">漏洞</SPAN>。<BR>11:54分，官方安全部门发现站点 <A id=url_1 onclick="return checkUrl(this)" href="http://customer.discuz.net/" target=_blank><FONT color=#0070af>http://customer.discuz.net</FONT></A> 域名被劫持，指向一台攻击者控制的<SPAN id=rlt_6 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=服务器',this.id)">服务器</SPAN>(203.86.236.236)。Customer 站点是 Discuz! 用于发送论坛补丁和安全补丁通知的紧急接口。黑客首先利用 Discuz.net 域名服务商的漏洞，登陆并<SPAN id=rlt_9 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=修改',this.id)">修改</SPAN>了 Customer 的域名地址，并事先写好了一段攻击代码存放在一台服务器上。<BR><BR>当站长登陆进入论坛后台首页时，由于论坛通知服务器的域名被劫持到新服务器上，从而使得攻击代码运行，模仿站长的身份，提交并修改了论坛的 seo 设置。从而造成论坛无法正常访问。<BR><BR>官方立即修改被劫持域名。11:55分，被劫持域名的重新定向工作完成。<BR><BR>12:15分，官方论坛已经发放代码清除<SPAN id=rlt_10 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=产品',this.id)">产品</SPAN>包（<A id=url_2 onclick="return checkUrl(this)" href="http://www.discuz.net/thread-1183991-1-1.html" target=_blank><FONT color=#0070af>http://www.discuz.net/thread-1183991-1-1.html</FONT></A>）。此次域名劫持事件未涉及官方 Discuz.net 论坛，仅有期间8分钟内登陆管理后台的部分站点受到影响站点，可参照官方论坛提供的方法修复。<BR><BR>（手工修改方法。Discuz!后台相关seo 设置当中被人插入&lt;script&gt;function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init;&lt;/script&gt;，去掉以后即可。）<BR><BR>域名是互联网基础服务，本次安全<SPAN id=rlt_3 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=问题',this.id)">问题</SPAN>系由域名劫持造成，Discuz! 各版本<SPAN id=rlt_1 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=软件',this.id)">软件</SPAN>代码在安全上并无问题，故 Discuz! 官方除了发布恢复方法及恢复工具以外并没有新的补丁发布。<BR><BR>此次域名劫持所造成的安全问题，是一次严重的攻击行为，其行为已违反相关法律法规。根据全国人大常委会于<SPAN id=rlt_2 style="CURSOR: pointer; BORDER-BOTTOM: #fa891b 1px solid" onclick="sendmsg('pw_ajax.php','action=relatetag&amp;tagname=2008',this.id)">2008</SPAN>年12月22日开始审议的《刑法》修正案(七)草案中相关条款，此类攻击行为属于被政府严厉打击的犯罪行为。Discuz! 官方已对案发全过程进行证据保全和公证，并保留追究攻击者法律责任的权力。<BR>