3月26日晚間,據大量網友反饋,有攻擊者正在大規模的發起中間人攻擊劫持京東和 GitHub 等網站。
所有的 github pages 頁面開啟 HTTPS 的話證書都變成下面這個了?什麼情況?
此次攻擊似乎通過骨幹網絡進行劫持 443端口,目前經測試 DNS 系統解析是完全正常的。目前受影響的主要是部分地區用戶但涉及所有運營商。
例如中國移動、中國聯通、中國電信以及教育網均可復現劫持問題,而國外網絡訪問這些站點並未出現異常情況。
由於攻擊者使用的自簽名證書不被所有操作系統以及瀏覽器信任,因此用戶訪問這些網站時可能會出現安全警告。從目前攻擊情況來看此次發起攻擊的黑客很可能是初學者,而攻擊目的很有可能只是在測試但沒想到規模如此大。
大量用戶無法正常訪問京東和GitHub:
從目前網上查詢的信息可以看到此次攻擊涉及最廣的是 GitHub.io,其次用戶訪問京東等國內知名網站亦會報錯。
查看證書信息可以發現這些網站的證書被攻擊者使用的自簽名證書代替,導致瀏覽器無法信任從而阻止用戶訪問。
自簽名證書顯示證書的製作者QQ暱稱為心即山靈 (346608453),這位心即山靈看起來就是此次攻擊的始作俑者。
所幸目前全網絕大多數網站都已經開啟加密技術對抗劫持,因此用戶訪問會被阻止而不會被引導到釣魚網站上去。
如果網站沒有采用加密安全鏈接的話可能會跳轉到攻擊者製作的釣魚網站,若輸入賬號密碼則可能會被直接盜取。
注 1:此QQ號從此前某數據庫裡可檢索出使用者為某校高中生,不過尚不清楚黑客的身份。
攻擊者可能是初學者正在進行測試:
從攻擊者自簽名證書留下的這個扣扣號可以在網上搜尋到部分信息,信息顯示此前這名攻擊者正在學習加密技術。
這名攻擊者還曾在技術交流網站求助他人發送相關源代碼,從已知信息判斷攻擊者可能是在學習後嘗試發起攻擊。
但估計他也沒想到這次攻擊能涉及全國多個省市自治區的網絡訪問,而且此次攻擊已經持續四個小時還沒有恢復。
另外從這名攻擊者如此高調行事的風格來看也極有可能是初學者,畢竟此前嘗試大規模劫持的還在牢裡沒出來呢。
被劫持的京東(圖片來自unixeno)
關於QQ號主/攻擊者的身份追蹤信息:
注2:檢索發現此QQ號主 1992年從某高中畢業,現為某公司職員,據官網介紹,該公司並沒有流量相關業務。
注3:據大佬們討論,此次攻擊似乎是從骨幹網絡發起七層精準劫持,能做到這種攻擊的黑客看起來也不想初學者。
[email protected]這次是大出名!另外,最近幾天使用Github注意被劫持的風險。
參考文章鏈接:
https://www.landiannews.com/archives/71707.html
https://v2ex.com/t/656367
閱讀更多 51CTO 的文章
