Apache 存在 Log4j 远程代码执行漏洞,将给相关企业带来哪些影响?还有哪些信息值得关注?
知乎用户 Serendipity 发表 Apache Log4j 2 远程代码执行漏洞,和很多注入攻击一样,能够得以实施的两个关键条件在于: 用户能够控制输入,或者说需要用户提供部分输入数据 用户提供的输入数据和原本程序要执行的代码进行 …
近日,继承了由 “端点星案” 被捕者陈玫、蔡伟管理的 2049BBS 的墙外论坛 2047BBS 遭到据信由中共黑客主导的网络攻击,一度下线。尽管该论坛的部分老用户以 2047BBS(原域名为 2047.name)的旧数据库为基础更换域名为 2047.one 重新开站,但 2047.name 的站长 thphd 自 1 月 7 日网站下线后失联至今,据该站管理层研判很可能已遭中共当局抓捕。博闻社特约记者采访了 2047.one 管理团队中的一名管理员孟先生(此为化名),了解到了事件的更多细节。
近日,继承了由 “端点星案” 被捕者陈玫、蔡伟管理的 2049BBS 的墙外论坛 2047BBS 遭到据信由中共黑客主导的网络攻击,一度下线。尽管该论坛的部分老用户以 2047BBS(原域名为 2047.name)的旧数据库为基础更换域名为 2047.one 重新开站,但 2047.name 的站长 thphd 自 1 月 7 日网站下线后失联至今,据该站管理层研判很可能已遭中共当局抓捕。博闻社特约记者采访了 2047.one 管理团队中的一名管理员孟先生(此为化名),了解到了事件的更多细节。
据孟先生介绍,2047.name 在 2021 年 12 月底(大约从 12 月 20 日到 12 月 27 日之间)遭到了一次黑客攻击。“黑客利用了 2047 处理 Youtube 链接排版时的一个技术漏洞,导致几条留言被植入了网页代码。经检查发现,此代码会利用浏览器的网页即时通信(WebRTC)绕过代理获取浏览此留言者的 IP。以前我们遭受过其他类的网络攻击,但此类网络攻击尚属首次。站长 thphd 及时修复了漏洞并清除了黑客植入的代码。”
2047.one 站方判定此次网络攻击由中共当局支持的黑客主导,孟先生也就此向博闻社特约记者给出了五点具体理由:
“第一,这次攻击的专业程度高,黑客有很强的伪装意识,并且熟悉 XSS 攻击的常见技巧,这些手段并非资浅的技术人员能够做到。黑客对攻击代码和其中嵌入的链接进行了混淆,这也正是此漏洞持续一周才被发现的原因。
第二,这次攻击消耗的人力大。2047 的功能很多,开源的代码有 10000 多行,从中找出漏洞是非常费时费力的事情。对方研读了 2047.name 开源的大部分代码,才得以定位这个漏洞。
第三,这次攻击消耗的物力大。对方为了攻击 2047BBS,有计划地提前搭建了多个攻击平台。我们事后发现钓鱼代码中嵌入的链接就指向这些平台。
特别地,站方在攻击代码中还发现黑客会把信息发送到 cnzz(站长统计网),cnzz 是阿里巴巴的子公司,必须实名注册才能使用其服务。显示黑客并不在意在境内是否实名,此次攻击很可能是为了境内利益而服务。
第四,2047.name 在 2021 年 10 月左右即受到一波 HTTP DDoS 攻击,其中部分 IP 地址来自中国和香港腾讯。由于 2047BBS 在中国已被封锁,因此来自中国的 IP 就显得非常可疑。我们猜测 10 月的 DDoS 攻击可能是这次攻击的前奏。
第五,拜登论坛(h.2047.name)作为 2047 的子站,也在 10 月份遭到香港金克斯科技 (Jinx Co.) 下属 IP 地址的 DDoS 攻击,并且在 12 月 27 日 - 30 日遭到入侵,黑客使用了 NodeBB 1.18.4 的提权漏洞,获得了管理员权限,并在页面上放置了类似的攻击脚本。且攻击者的 IP 地址和在 2047 发布 XSS 代码的用户的 IP 地址相同。”
孟先生还向博闻社特约记者介绍了 2047.name 站长 thphd 失联的具体情况:“在发现黑客攻击之后,thphd 意识到自己的 IP 地址可能被泄露,为了以防万一,他交代管理团队做好接手后台的准备。在 1 月 7 日,我们发现 thphd 失联并且网站下线。我们并不确定站长的位置,然而根据种种迹象来看,他失联前很有可能在中国国内。目前我们并无他的最新消息,但他很可能已经遭到中共当局的抓捕。“
至于外界关心的网站安全问题,孟先生表示:“站长 thphd 失联之后,我们大幅加强了论坛的安全措施,其中包括添加内容安全策略(Content Security Policy)以防御跨站脚本攻击(12 月底遭到的黑客攻击就是一次跨站脚本攻击)。目前新添加的安全特性,可以永久杜绝此类问题再次发生。”
有长期关注中国网络自由的分析人士对博闻社指出,随着中共收紧网络管控,中国大陆异议人士被噤声甚至被失踪的事情层出不穷,中共黑客对海外独立中文网站的攻击也愈发猖獗,这既需要国内网民做好安全上网的自我保护措施,也需要国际正义力量的关注和支援。
以下为 2047 论坛首页发布的《关于 1 月 8 日至 1 月 15 日下线情况的说明》:
知乎用户 Serendipity 发表 Apache Log4j 2 远程代码执行漏洞,和很多注入攻击一样,能够得以实施的两个关键条件在于: 用户能够控制输入,或者说需要用户提供部分输入数据 用户提供的输入数据和原本程序要执行的代码进行 …
北京一名阳性病例的流调轨迹牵出一个令人泪湿眼眶的故事: 中国新闻周刊报道截图 为了寻找失联的大儿子,抚养上六年级的小儿子,赡养瘫痪的父亲、多病的母亲,撑起这个风雨飘摇的家庭,这位44岁的河南汉子在北京扛沙袋、搬水泥,运建筑垃圾…… 深夜出 …
知乎用户 一直住顶楼 发表 写在最前面:开源软件是程序员的自媒体。 有些感慨,我记得这个哥们儿其实之前发过 twitter,他也就是想要一个 20 万美刀的 offer 而已,还是我记错了?这…… 按理说不至于啊,虽然老实说我不碰 js, …
武汉人胡新成失联了! 一. 胡新成何许人也? 笔者对他的定位是,一个我愿意用身家性命去帮助的人,起码近年来,他是唯一值得我不顾一切去帮助的人。 胡新成曾说过:“ 从我参加工作之后直到今天,在自己的能力范围之内,只要能帮一下别人,我都是尽力去 …
知乎用户 财联社鲸平台智库 发表 本来只想吃会儿瓜,刷到下面几个回答血压高起来了。 工业和信息化部 网信办 公安部 关于印发网络产品安全漏洞管理规定的通知 工业和信息化部 网信办 公安部关于印发网络产品安全漏洞管理规定的通知_2021 年 …