【IT168 资讯】最近热炒的网络论坛“集体休克”事件终于水落石出,原因是Discuz!系统域名被黑客劫持,随后借助于客户支持网页将攻击代码注入到各大论坛之中,导致论坛无法正常访问。在此过程中,瑞星杀毒软件新品——瑞星 2009一度被误认为惹祸的“元凶”,现在再让我们从始至终回顾一下该事件。
网站集体休克
自1月6日中午开始,大量网民在访问论坛时出现故障,无法发帖回帖,或者页面出现大片空白,而且不止一家两家论坛,而是绝大多数论坛网站都出现了这一问题。
此外,网易、淘宝等一系列知名网站,包括目前在公司白领中最流行的开心网也被株连,页面频频显示出错,甚至无法打开,中国互联网出现了罕见的"集体休克"现象。
由于论坛、开心网、网易等网站受到的影响不一,有的是部分显示错误或功能无法实现,有的则为完全无法使用,论坛站长们成为感受最深的受害群体。
在Discuz!官方论坛中,大量用户发泄着内心的郁闷。与此同时,百度知道等问答网站中也相继出现了大量求助者,众多网友开始质疑,是谁导演了这次网站的“集体休克”?
瑞星遭诬陷 Discuz!官方澄清
在众多网友寻找答案的时候,网络上在短短一个小时内出现了近200条类似新闻,矛头都指向了瑞星,称“此类问题均由瑞星2009更新导致”。
在这些新闻文章中指出,这次"封杀"论坛的严重事故,原因即在于瑞星2009阻止了一些常规Js脚本的运行,而Js在网页中有着非常普及的应用,IE等浏览器在访问网页时会调用此类脚本,一旦失效,网页的显示和功能实现将遭到严重的破坏。
在这些新闻中充斥着对瑞星2009新品的诽谤和诬陷,事实证明这是一次人为操作的“诬陷事件”。
1月8日,Discuz!官方发布公告,称其论坛通知服务器域名遭黑客劫持,康盛创想公司经过排查发现,站点 http://customer.discuz.net 域名被劫持,指向一台攻击者控制的服务器(203.86.236.236)。Customer 站点是 Discuz! 用于发送论坛补丁和安全补丁通知的紧急接口。
黑客首先利用Discuz.net域名服务商的漏洞,登陆并修改了 Customer 的域名地址,并事先写好了一段攻击代码存放在一台服务器上。当站长登陆进入论坛后台首页时,由于论坛通知服务器的域名被劫持到新服务器上,从而使得攻击代码运行,模仿站长的身份,提交并修改了论坛的 seo 设置。从而造成论坛无法正常访问。
据称,该次域名劫持事件由邪恶八进制(EvilOctal)信息安全团队制造,颇具戏剧性的是,在08年5月份,Discuz!官方论坛也曾遭到该黑客团体的攻击。
解决办法
康盛创想公司在发现问题原因后,立即修改被劫持域名,完成了被劫持域名的重新定向工作。
随后,Discuz!官方论坛发放代码清除产品包(http://www.discuz.net/thread-1183991-1-1.html)。并表示,此次域名劫持事件未涉及官方 Discuz.net 论坛,仅有期间8分钟内登陆管理后台的部分站点受到影响站点。
官方论坛并对外公布了修复方法:
方法1:
如您的论坛出现“Hacked by ring04h, just for fun!”,请去Discuz!官方论坛下载修复工具,上传到论坛根目录执行即可。
方法2:
直接访问 admincp.php 程序,进入论坛后台以后,进入全局--优化设置--搜索引擎优化,删除掉以下代码:
SCRIPT function init() {
document.write('Hacked by ring04h, just for fun!');
}
window.onload = init;
/SCRIPT
