|
????6月28日消息,今日晚間新浪微博突然出現(xiàn)大范圍“中毒”,病毒利用新浪微博系統(tǒng)漏洞,向中毒者好友大量發(fā)送私信,并在內(nèi)容內(nèi)加上流行詞匯,進(jìn)行快速傳播。 ????盡管到今日晚間9點(diǎn)新浪微博通過微博小秘書發(fā)布聲明指出,攻擊者的帳號(hào)被關(guān)閉,仍有分析人士指出,按照攻擊者粉絲數(shù)量看,可能導(dǎo)致3萬多新浪微博網(wǎng)友中招。 ????或?qū)е?萬新浪微博網(wǎng)友中招 ????據(jù)了解,今日晚間20時(shí)左右,大量用戶自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話版種子”等帶鏈接的微博與私信,并自動(dòng)關(guān)注一位名為hellosamy的用戶。 ????其中,東方早報(bào)在新浪微博就中招,東方早報(bào)騰訊官方微博指出:“在剛剛發(fā)生的新浪微博大規(guī)模中毒事件中,東方早報(bào)新浪官方微博也中毒了,發(fā)送一些病毒鏈接,我們是悲催的三萬分之一。 解決方案:1、不點(diǎn)擊不明鏈接;2、還是關(guān)注我們?cè)隍v訊微博的官方微博吧?!?/p> ????金山毒霸騰訊官方微博也發(fā)出預(yù)警,稱新浪微博出現(xiàn)“微博尾巴”蠕蟲病毒,該病毒利用新浪微博系統(tǒng)漏洞,向中毒者好友大量發(fā)送私信,并在內(nèi)容內(nèi)加上流行詞匯,進(jìn)行快速傳播。用戶點(diǎn)擊病毒鏈接后即會(huì)中毒,大量向好友發(fā)送私信和@好友。提醒有疑似癥狀用戶清空緩存。 ????此前,新浪微博也通過微博小秘書發(fā)布公告,稱目前微博出現(xiàn)惡意鏈接,一旦點(diǎn)擊會(huì)發(fā)出多條微博。技術(shù)正在緊急處理。請(qǐng)大家不要點(diǎn)擊如下圖所示的相關(guān)鏈接。 ????到今日晚上21點(diǎn)左右,新浪微博再次通過微博小秘書發(fā)布公告截至目前,稱“微博上惡意鏈接問題已經(jīng)修復(fù),惡意鏈接內(nèi)容傳播已經(jīng)得到控制,用戶密碼等個(gè)人信息不會(huì)受影響。給大家?guī)聿槐阄覀兩畋砬敢狻!?/p> ????截止目前為止,新浪微博病毒賬號(hào)@hellosamy已關(guān)閉,不過,在關(guān)閉之前該賬號(hào)有32961個(gè)粉絲,知名博客“月光博客”指出,盡管攻擊者賬號(hào)已經(jīng)被關(guān)閉,但按照其粉絲數(shù)量看,可能仍有3萬多新浪微博網(wǎng)友中招。 ????利用新浪微博存在的XSS漏洞 ????新浪微博爆發(fā)集體病毒后,安全廠商金山毒霸給出了解決方案:遭遇此類病毒該如何處理:1、不要點(diǎn)開私信里的任何鏈接;2、把私信接受的權(quán)限設(shè)置為“我關(guān)注的人”。3.如果發(fā)現(xiàn)中毒后馬上退出登陸即可停止發(fā)布病毒信息。 ????更多的網(wǎng)友則是將目光投向了攻擊者和背后的原因。據(jù)了解,發(fā)起此次攻擊的是,通過whois查詢,的域名注冊(cè)人叫張志,網(wǎng)站負(fù)責(zé)人叫劉孝德,網(wǎng)站已經(jīng)通過備案并獲得許可證號(hào),為蘇ICP備10108026號(hào)-1。不過,分析人士指出,攻擊者不一定是的擁有者。不排除這個(gè)網(wǎng)站被攻擊后,服務(wù)器被人放置惡意代碼。 ????此前,2005年,首個(gè)利用跨站點(diǎn)腳本缺陷的蠕蟲samy被“創(chuàng)造”出來。國(guó)外黑客Samy利用網(wǎng)站設(shè)計(jì)方面的缺陷,創(chuàng)建了一份“惡意”的用戶檔案,當(dāng)該用戶檔案被瀏覽時(shí),就會(huì)自動(dòng)地激活代碼,將用戶添加到Samy的“好友”列表中。 ????另外,惡意代碼還會(huì)被拷貝到用戶的檔案中,當(dāng)其他人查看用戶的檔案時(shí),蠕蟲會(huì)繼續(xù)傳播。Samy蠕蟲能夠造成與拒絕服務(wù)相當(dāng)?shù)男?yīng),會(huì)造成好友列表中好友數(shù)量呈指數(shù)級(jí)增長(zhǎng),最終會(huì)消耗系統(tǒng)的大量資源。 ????有安全行業(yè)人士指出,此次新浪微博遭遇集體病毒攻擊,像是制作者向samy蠕蟲致敬。此次攻擊者既能發(fā)私信,又能發(fā)微博,還能Follow。這其中最難的部分在于如何執(zhí)行腳本。 ????值得注意的是,盡管此次新浪微博遭遇的攻擊來自外部,卻不是通過新浪微博API進(jìn)行。安全行業(yè)人士指出,這次是通過嵌入腳本,根本沒有必要走遠(yuǎn)路去走API,況且API已默認(rèn)禁止了私信端口。 |