2011年6月28日
本文转载自 http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2
本帖最后由 anonymous 于 2011-6-28 21:36 编辑 一、事件的经过 新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。 事件的效果: 和 事件的经过线索如下: 20:14,开始有大量带V的认证用户中招转发蠕虫 20:30,2kt.cn中的病毒页面无法访问 20:32,新浪微博中hellosamy用户无法访问 21:02,新浪漏洞修补完毕 影响有多大:32961(这位hellosamy在帐号被封前的好友数量)。 二、采用了什么样的攻击方法 1、利用了新浪微博存在的XSS漏洞; 2、使用有道提供的短域名服务(这些网址目前已经“无害”); 例如,通过http://163.fm/PxZHoxn,将链接指向: http://weibo.com/pub/star/g/xyyy ... ript%3E?type=update 3、当新浪登陆用户不小心访问到相关网页时,由于处于登录状态,会运行这个js脚本做几件事情: a.发微博(让更多的人看到这些消息,自然也就有更多人受害); b.加关注,加uid为2201270010的用户关注——这应该就是大家提到的hellosamy了; c.发私信,给好友发私信传播这些链接; 三、攻击者是谁? 攻击者不一定是2kt.cn的拥有者。目前暂时只能获得2kt.cn域名、网站拥有者信息如下。 不排除这个网站被攻击后,服务器被人放置恶意代码。 通过whois查询,2kt.cn的域名拥有者信息如下: 注册人: 张志 管理员邮件: lin5061@gmail.com 通过工信部的备案查询:http://www.miibeian.gov.cn/publish/query/indexFirst.action 网站负责人姓名:刘孝德 网站备案/许可证号:苏ICP备10108026号-1 四、为什么叫hellosamy? 2005年,首个利用跨站点脚本缺陷的蠕虫samy被“创造”出来了。Samy利用网站设计方面的缺陷,创建了一份“恶意”的用户档案,当该用户档案被浏览时,就会自动地激活代码,将用户添加到Samy的“好友”列表中。另外,恶意代码还会被拷贝到用户的档案中,当其他人查看用户的档案时,蠕虫会继续传播。Samy蠕虫能够造成与拒绝服务相当的效应,会造成好友列表中好友数量呈指数级增长,最终会消耗系统的大量资源。 因此,这次新浪微博的蠕虫,象是在对samy蠕虫致敬 五、参考信息 samy蠕虫的传播经历与技术细节:http://namb.la/popular,http://namb.la/popular/tech.html 新浪hellosamy蠕虫的传播与细节:http://bbs.unnoo.com/forum.php?m ... d=156&fromuid=2 六、本次蠕虫事件中的代码下载 t.js下载地址: 06.28_sina_XSS.txt.zip (1.41 KB, 下载次数: 30)
js