2011-1-8 20:46:51 补充:

这才是真相:

陆羽:是因为**帐号被社工,导致DNS劫持。能搞的路子很多。

这是xx大牛(拿着域名的那个,囧~)被射,不是新网问题,虽然新网被日。

PS:以下众多内容仅供参考,都是浮云……

具体劫持方法,转自 oldjun 博客:

    oldjun:http://www.oldjun.com/blog/index.php/archives/78/

    必须承认,在过去的一个月时间里,发生了太多的针对本blog或者t00ls的一些事件。其实本不想说什么,拖着这么久还是忍不住来写篇博文。虽然我在这篇博文里:http://www.oldjun.com/blog/index.php/archives/69/已经态度很明显了。

    对于被黑的方法,我在t00ls里提过,这里重复下吧。无论是t00ls还是我blog,被黑(或者不算黑,但满足了黑的心理)的可能性有以下几种:
        0.IIS远程溢出或者3389远程溢出(我相信拥有这0day的大牛肯定不屑我这个小服务器与小网站);
        1.dz 0day或者blog源码 0day(确实存在可能,XSS也算上,但能拥有的人应该不多);
        2.同服务器的旁注(可能性同上);
        3.ARP(最广大黑客最忠诚最喜欢的办法了,事实上当年服务器确实每天每时每刻都在被ARP着);
        4.域名劫持(虽说是下下策,但最后少部分人确实利用这个办法成功奏凯了);
        5.DDOS与CC(每个月的某些天总有那么个时候会把服务器搞瘫,不过现在此问题基本解决了)。

    这一个月不到的时候里,服务器或者域名确实被黑了,所谓被黑,其实有三点,一是通过Dz 0day拿到moujian.com的权限,二是成功劫持oldjun.com的域名,三是成功劫持t00ls.net的域名。前两者为一个人完成,最后一个就不用我说了,大家都知道。

    这么久以来,一直自诩很低调,尽量少的得罪人,所以我完全相信,任何一个人针对本服务器的目的不在于moujian.com、不在于oldjun.com,而是在于T00ls.Net。

    一、moujian.com 被攻陷:
        那个密码确实用了蛮久了,于是某黑客一从moujian.com的ucenter的后台进去update了bbs的创始人后台密码,然后利用dz 0day(稍后公布吧)执行代码,虽然服务器权限设置的还是很BT的,但是有理由相信,他是成功拿到shell了的。不过拿到moujian.com的shell也不等于拿下t00ls.net了。因为第一密码显然不一样,第二权限没这么好提。

    二、oldjun.com 被劫持:
        那个密码确实用了蛮久了,于是那个不常用的QQ账号被社工了,不幸的是该QQ帐号又是godaddy的注册帐号,导致godaddy的account被其获取,从而oldjun.com的域名权限丢失,然后我及时联系了undo锁定了域名,但是还是导致了半个多月无法访问。在我已经联系godaddy快找回域名的时候该黑客主动把域名还我了...劫持事件就这样OVER了。

    三、t00ls.net 被劫持:
        t00ls.net 域名权限一直不在我这儿,我也一直没管理过,所以对此域名一直没有关注,直到被劫持的时候,我同样跟所有人以为是新网被攻陷。
        二次劫持的时候,大家才发现应该是域名管理帐号被社,虽然新网的dns解析管理确实存在非常弱智的漏洞,但估计这位90后黑客应该没能掌握。

    常在河边走,我已经习以为常了,而且事情发生了,我甚至都不会有怨恨或者愤怒的想法。人生短短几十年,应该做的事情可以很多,没必要以这种虚拟的东西为喜或者为悲...

    于是有人嘲笑了:你也会被黑啊?你们t00ls也会被黑啊?我很淡然啊,我为什么就不能被黑呢?T00ls为什么就不能被黑呢?t00ls核心群里现在35个人,虽然大家会对论坛很尽心,但大家的精力都有限,不会有人也根本不可能有人24小时盯着守着论坛。大家都有自己的工作、生活、家庭,每天都要上班都要赚钱,陪老婆孩子,陪爸爸妈妈...

    对于t00ls,我想说的是,也许某些管理员或者核心在曾经的大规模清理帐号以及ban ID时得罪了很多黑客,但是他们没有追着去跟诸位黑客们结怨;另外t00ls也只是名不见经传的小论坛,诸位黑客们没有必要为了这小论坛惹上无名的怒火;还有哪怕即使你黑了t00ls,明天走在大街上也不会有fans找你签名。我敢说的是:民间安全组织很多,但t00ls(核心、官方)从不会主动对某一方进行攻击,t00ls一直在在努力做到低调求发展。现在域名已经在godaddy了,如果谁还放不下对t00ls的仇恨的话,还请继续社工我或者干脆直接拿下godaddy!

    我觉得,人活着还是得为这个世界创造点价值的!我们如此,90后亦如此……

-------------------------------------------------------------------------------------------------------------------

    2011-1-6 16:14:03 补充:去劫持T00ls.Net域名的这娃娃博客看了下,这娃娃说不是新网被日的原因。那么是什么?以下原因仅为可能,仅供参考……

    2011-1-6 16:39:08 补充:

以下是那娃娃,在我博客的留言。

chinared
ID:332 时间:2011-01-06 16:07:46 IP:183.23.216.166
留言内容:
    新网。新网。,新网关土司什么事。新网漏洞。我不知道。根本不知道。也许那个t00ls.net域名在谁的手上就基本是为什么了。新网那些洞能改dns。哪么。t00ls还有我劫持的机会么,郁闷,炒作。抄抄抄
管理回复:
    What????? 不是新网的问题么?

chinared
ID:333 时间:2011-01-06 16:19:30 IP:183.23.216.166
留言内容:
    你应该要去问问管理员。新网出了洞。我不知道。真的。至于你们说我用新网的洞要劫持土司。哪么。我还有机会么。,真费解。费解费解, 说新网出洞,为什么发布的作者不去劫持了。难道?你要说?他没我这么装逼?错了。真错了。你们的分析也错了。、、
管理回复:
    这个还真是郁闷了,那么把具体过程在你博客贴一下?

chinared
ID:334 时间:2011-01-06 16:24:59 IP:183.23.216.166
留言内容:
    如果真的贴一下,很多站会倒霉的...自己仔细研究一下.百度是怎么劫持的.其实想想基本会明白.我游荡去了.你慢慢发.慢慢炒,炒抄抄
管理回复:
    晓得了…… 哥不是炒作,我只是把可能被劫持的原因发一下。

chinared
ID:335 时间:2011-01-06 16:28:08 IP:183.23.216.166
留言内容:
    在说一句,我刚刚看到一个大牛写了一个什么什么原理,什么什么东西的,真恶心,...试问大牛.你能遇到那样傻子的客户么.真费解..真的.
管理回复:
    被日不丢人,丢人的是不知道怎么被日的!囧~

----------------------------------------------------------------------------------------------------------

    昨天 T00ls.Net 域名被劫持,指向一美国服务器,并在该服务器上挂了黑页。不知道的先去看这里:T00ls 主域名于 2011-01-05 19:30 被劫持

    实际上昨天 T00ls.Net 域名被劫持没啥秘密的,就是因为新网(www.xinnet.com)被日了,A 纪录被改。结果好多黑客们幸灾乐祸,跟他妈给他找了个失散多年的异性兄弟一样(引用某人原话,囧……)。

    同时还引起了某些“黑客”的装逼行为,扬言说 T00ls.Net 被黑,域名被劫持是他干的。具体是谁就不点名了(这娃娃为这事,昨天半夜还D我博客一小时,然后又CC了一个多小时,这娃娃真蛋疼。得了,跟他不计较,一小毛孩子,啥都不懂,跟他计较啥,是吧)。

    新网具体被日的细节不是很清楚,但是有可能是以下方式所为:

新网被黑的黑页

http://www.xinnet.com/history.txt,被爆资料:

[xinnetmis-2-1-0-6]
U WebRoot/Modules/admin/business/pages/domain_local_infoInsert.jsp
U WebRoot/Modules/admin/business/pages/domain_remote_transferin.jsp

P WebRoot/Modules/admin/common/pages/header.jsp

U WebRoot/Modules/agent/domain/dnsmanage/pages/getDomainUserInfo.jsp

P WebRoot/Modules/agent/serv/pages/domain_fast_info_show.jsp
P WebRoot/Modules/agent/serv/pages/domain_info_add.jsp
P WebRoot/Modules/agent/serv/pages/domain_info_show.jsp
U WebRoot/Modules/agent/serv/pages/domain_trans_in2.jsp
P WebRoot/Modules/agent/serv/pages/serv_open_impdomain.jsp

U WebRoot/Modules/agent/serv/scripts/checkAgent.js

P src/main/com/sitechasia/xinnet/agent/domain/service/impl/DomainCertServiceImpl.java

P src/main/com/sitechasia/xinnet/agent/serv/web/DomainAction.java

[xinnetmis-2-1-0-7] 2008-06-25
U src/main/com/sitechasia/xinnet/agent/info/web/BillAction.java

P src/main/com/sitechasia/xinnet/agent/domain/web/DomainAPIAction.java

U WebRoot/Modules/agent/serv/pages/account_pay_bill_2.jsp

P \WebRoot\Modules\agent\dljm\pages\dljm_cpjg.jsp
P \WebRoot\Modules\agent\dljm\pages\dljm_faq.jsp
P \WebRoot\Modules\agent\dljm\pages\dljm_sqlc.jsp
P \WebRoot\Modules\agent\dljm\pages\dljm_sqzg.jsp
U \WebRoot\Modules\agent\dljm\pages\dljm_zxsq.jsp
P \WebRoot\Modules\agent\dljm\pages\dljm_zxsq_ok.jsp

[xinnetmis-2-1-0-8] 2008-07-03 针对后台改动
U WebRoot/Modules/occ/pages/bottom.jsp
U WebRoot/Modules/occ/pages/default.jsp
U WebRoot/Modules/occ/pages/leftmenu.jsp
U WebRoot/Modules/occ/pages/top.jsp

P WebRoot/Modules/occ/pages/rolemanage/role_edit.jsp
P WebRoot/Modules/occ/pages/rolemanage/role_list.jsp

P WebRoot/WEB-INF/web.xml

U lib/casclient-http-global-2.1.1.jar
U lib/cessoclientassistant.jar

U resource/config/cas.properties

U resource/modules/exception-info.xml

P resource/modules/spring.xml

U resource/modules/agent/serv/spring-conf/applicationContext.xml
P resource/modules/agent/serv/spring-conf/serviceContext.xml

U resource/modules/infopub/spring-conf/applicationContext.xml

P resource/modules/occ/acegi/spring-conf/applicationContext-acegi-security.xml

U resource/modules/order/spring-conf/applicationContext.xml

[xinnetmis-2-1-0-9] 2008-07-21
P src/main/com/sitechasia/xinnet/agent/domain/service/impl/DomainCertServiceImpl.java 证书打印
P src/main/com/sitechasia/xinnet/agent/domain/web/DomainAPIAction.java 勇胜API
P src/main/com/sitechasia/xinnet/agent/serv/service/impl/MailServiceImpl.java 邮件改为mx
P src/main/com/sitechasia/xinnet/agent/serv/service/impl/DomainServiceImpl.java 域名限制类型

[xinnetmis-2-1-0-10] 2008-07-30
P main/com/sitechasia/xinnet/agent/info/web/AgentLoginAction.java 域名管理修改密码
P main/com/sitechasia/xinnet/agent/domain/web/DomainAPIAction.java 勇胜API
P main/com/sitechasia/xinnet/agent/domain/web/DomainManageAction.java 勇胜API
P main/com/sitechasia/xinnet/agent/domain/service/impl/DomainCertServiceImpl.java 为了取得DNS的IP,用本类型的域名的domainType linchaosen
P main/com/sitechasia/xinnet/agent/domain/service/impl/DomainManageServiceImpl.java 为了取得DNS的IP,用本类型的域名的domainType linchaosen
P com.sitechasia.xinnet.admin.finance.service.impl.EnterCashServiceImpl.java 复核预收款时把快钱支付过滤掉
P \WebRoot\Modules\agent\api\pages\api.doc.jsp 去掉没用的下载项

    关于新网被日的具体细节,我也不是很清楚,也没啥说的,基本情况就这样了。同时呢,那个劫持 T00ls.Net 的娃娃也不要怕,T00ls.Net 的大牛们是不会进行报复的,顶多也就是打断第三条腿而已……

有关论坛昨天被黑,有关付费邀请,有关删ID。转自 T00ls.Net:

首先,说下论坛的硬件资本:

    一台独立服务器,租借的某IDC的...

其次,说下攻击T00ls的可能办法:

      1.dz 0day;
      2.同服务器的旁注;
      3.ARP;
      4.域名劫持;
      5.DDOS与CC;

最后,说下社工进入T00ls的方法:

      1.先查看在线列表,一个个账户的猜弱口令,没设置问题答案的人;
      2.从社工库里找密码;
      3.曾经拖了T00ls的库,破解密码登录论坛
      4.曾经拖了T00ls的库,伪造cookie登录论坛;
      5.曾经拿了T00ls的源码,uc建、改、删用户等等;

(为什么要大家经常修改密码,因为T00ls之前由于配置不慎已经被人拿过库,虽然是很久之前,但如果密码没有改,对方还是有办法用你的账户登录论坛的,哪怕密码cmd5破不了)

一、论坛被黑:

    T00ls.Net 一直低调求发展,但是由于很多黑客都放荡不羁,T00ls没有能力管理限制他们的言行,或者由于其他原因,成立到现在删号比较频繁;然后由于T00ls开启申请注册,而很多人申请的资料没有得到核心成员们的认可。于是T00ls成为很多黑客大牛们的眼中钉,一直想除之日之而后快。

    于是T00ls经常被DDOS、CC攻击,三天两头……

    于是T00ls每时每刻都在被ARP,一直一直……

    于是昨天被劫持了域名,虽然T00ls域名的密码还是坚挺的,但是新网就不那么尽如人意了……

二、付费邀请:

    建议是我提出的,其实这2000元根本抵不了服务器几个月的运营费用;事实证明,付费邀请确实增强了论坛的人气。

    做单黑客的眼里,20元的邀请码还不够一包烟的价格……

    有关商业化的说法有点站不住脚,每天有多少人找我们做广告……

    我们没有投靠任何一家安全公司、安全企业……

三、有关删ID:

    好多人发帖之后,会在文章最后求管理不要删其ID。

    我想说的是:管理不会轻易删除或者ban任意一个会员的ID,核心要ban一个人都得在群里研究讨论的。

    具体删ID的规则参考论坛规则。

    付费邀请注册进来的100人已经有一人被踩死了。(虽然每个邀请码都是我亲自发的,并且一一叮嘱进论坛先看论坛规则)

    我将开帖记录删(ban)ID的记录、日期以及原因。