2003年11月15日(星期六)上午9點左右,仍在睡夢(我的愛好之一:)中的我突然被手機聲喚醒,原來是《黑客X檔案》的主編zero給我打來的電話,說我論壇的頁面被改了,按照常理說,我應該很吃驚的,畢竟在國內很多人對我的站點虎視眈眈啊,記得很多黑客愛好者新手對我說過:“將來我一定要打敗你!”,我一般都樂呵呵地回答:“我相信你一定能做到!但你必須付出努力”,這是可以理解的,長江後浪推前浪,江山代有才人出嘛!而事實上我對此一點都沒有感到吃驚,這就讓很多人會感到奇怪了,你作為國內知名的安全專家,自己的網站頁面被改,這麼沒面子的事,你咋能這麼耐的住呢?這要聽我慢慢說來。
關於我的歷史我不想說太多了,自從2000以來,我就在專業安全公司為國內的企業提供安全產品和服務了,更多的時間投入到了項目管理和新產品的設計研究上,所以,近兩年來我也很少寫文章和出軟件作品了,就是有一些也是很業余的,甚至粗糙,其實根本原因就是因為工作太繁忙,這是沒辦法的事情,生存第一嘛!其實更重要的是,作為公司的技術總監其責任要遠比一名安全愛好者要多的多,要負責公司安全服務體系的設計,不了解國內外的安全標准行嗎?要負責安全項目的組織和管理,不學習項目管理可以嗎?要負責產品的設計和規劃,不研究產品技術和原理行嗎?... 人的精力是有限的!白天我把自己的時間幾乎全部用在了工作上,只有夜晚屬於我的,才得以和朋友交流最新的安全漏洞和技術等,但除去睡眠時間,可用的太有限了!
劍客站點是我從1999年10月1日做起來的一個個人站點,最早就是為了發布一下自己的文章和作品,但後來因獨特的個性和實用的內容逐漸被朋友們所喜愛,每天的PageView達到了幾萬次,成為了大家交流技術和生活心得的一個場所,根據需要從2001年起我為之單獨租用了服務器,增加了技術文章、常用軟件、作者專欄和論壇社區等欄目,以期望大家有更好的交流場所,但由於投入的資金不可能太多,所以服務器的帶寬很窄,窄到什麼程度呢?我專門做過測試,也就是說用1台ADSL撥號的電腦使用SYNFlood攻擊就可以導致服務器停止提供服務。這是沒有辦法的事情,因為畢竟資金有限,劍客站點作為一個全免費的基本不做廣告的站點,卻擁有獨立的域名和服務器,這對於很多網站而言已經很不錯了,並且劍客站點還在可承受的范圍內為一些朋友提供50M以上的免費Email。
在網站欄目的擴展和大家享受更多免費服務的同時,劍客網站的安全風險也在增大,做為安全技術人員,我很早就意識到了這點,事實上劍客網站采用了網上常見的免費文章系統、下載系統和論壇系統等,大家也都知道這些腳本程序的代碼量很大,裡面存在很多編碼不嚴謹的地方,經常是堵了老漏洞又出了新漏洞,我不可能為自己去寫這些系統,也不可能把它們的代碼統統去檢查一遍,根本原因是我的業余時間太少了,我曾經嘗試做了一些,但一個星期也就才修改了很少一部分,實在太有限了,所以就放棄了。
記得在過去,大家研討黑客技術都是以取得對方系統的管理員權限為目的,現在不同了,有些人把更換對方的頁面做為目的了,就象是敵我雙方打仗一樣,常規的判定打勝對方的標准是控制對方的陣地並俘虜對方的士兵,但現在被這些人換成了只要能偷偷潛入對方陣地,貼上一個“這裡被我占領了!”的紙條就算勝利了,這不是有掩耳盜鈴、自欺欺人的意味麼?
事實是:劍客站點經歷了無數次的攻擊,但至今沒有人獲得管理員權限!
實際上,劍客站點完全可以做的非常安全,那就是把全站做成靜態頁面或者是親自編寫嚴謹的腳本系統,但是選擇前者的話,大家交流的場所就失去了,這是可悲的,若選擇後者由我本人來做是不現實的,其實最好的就是關閉站點,這樣對我的名聲上可能會很有好處,但大家也就永遠的失去了這樣一個交流的場所,我想這是劍客200萬以上的訪客和近2萬的論壇用戶所不願看到的,因此,我選擇了面對風險,在系統級做了安全處理後仍然保持網站開放,但仍然面臨著應用層次的攻擊... 並且由於仍然是時間問題,網站的管理一直由onebull、開心、孤獨俠客和水晶等朋友維護管理。
今年5月份N.E.V.E.R朋友在黑客基地(www.hackbase.com)發表的文章《我是這樣滲透入侵孤獨劍客網站(www.janker.org)的》,就暴露出了文章和下載系統存在的問題,經過他修改後在一定程度上起到了安全作用,但遺憾的是論壇系統並沒有得到安全處理,其實論壇的問題早就存在了,在論壇的公告信息裡面:
=================================================
祝今天參加程序員考試的兄弟們順利過關!
發布人:孤獨劍客 發布時間:2003-10-12 19:37:55
=================================================
這消息不是我發布的,後來一位朋友在QQ上告訴我是他發的,我說謝謝他免費管理!是的,我的確沒有更改,甚至由於不是惡意的,連刪除都沒有做,自然也沒做什麼處理,也就是說漏洞依然。
大約從今年7月份開始,隨著用戶量的增加,很多用戶反應論壇速度越來越慢,這時候“黑客基地(www.hackbase.com)”為我提供了高速空間,於是我就把bbs.janker.org放在了它們的服務器上,並由它們負責管理和維護。其實幾個月以來,劍客網站(www.janker.org)經常被DDoS所攻擊,一直到最近北京下了場雪後,機房光纖被壓斷,導致連續幾天無法訪問,當時我剛好也在出差在外,沒有辦法,等光纖恢復後服務器因為連續運轉了兩年多硬件又出現了故障,一時無法恢復,所以我干脆www.janker.org指向了bbs.janker.org,以便大家仍然能夠訪問交流,但這就意味著,只要更改了論壇的腳本就好像替換www.janker.org頁面,並且果然有人這麼做了,傳出去也就成了“劍客網站被黑了!!”,並且從留在頁面上的話可以看出,劍客網站成了愛情的犧牲品,為的是獻給某某女孩以展示其黑客水平,那麼這種所謂的黑客技術果然值得炫耀嗎?讓我們分析一下其黑客過程。
1、從我的論壇最下方的“? 1999-2003 孤獨劍客 感謝Rick提供”,判斷出本論壇是“極限論壇”。
2、使用目前流行的SQL注入攻擊方法獲取論壇管理員“孤獨劍客”或“開心”的密碼。
3、通過http://bbs.janker.org/admin進入管理頁
4、更改頁面所有的顏色為黑色!(這裡主要是隱藏其換不掉的部分)
5、更換論壇的logo圖片地址為http://xxx/2003111535275752.jpg (這就是替換的頁面其實就是一個大圖片)
6、刪除所有的欄目和數據(最卑鄙無恥的行為!確保首頁無法替換的部分最少)
7、刪除所有管理員用戶(以達到延遲發現後頁面恢復的時間)
從上面分析可以知道,除了發現極限論壇的SQL注入漏洞有些技巧以外,沒有什麼技術含量,並且這種漏洞已經出了很多,若用心的話,一個初中生完全可以做到,但並不是每個人都以這麼無恥的手法去做,這就象殺人一樣,大多數人都可以做到,若去戰場殺敵,我們會稱他為英雄,但若殺自己人,他就是罪犯,刪除無辜數據更是真正黑客之大忌,為大家所不恥!
說到這次更換劍客論壇(bbs.janker.org)頁面的styxfox,在不久前他更改華東師范大學主頁的時候,我就想寫篇文章發表一下感想,但仍然是工作繁忙無法靜下心來整理思路,於是就拖了下來,今天就要說幾句了。
從2001年的中美黑客大戰的紅客聯盟出現和媒體不斷的炒做後,國內黑客界就有一種趨勢,可以說是一種可怕的趨勢,那就是有些人為了出名,什麼都敢做,不管道德,不顧法律!敢做其實並不可怕,關鍵是你用在何處,你真能把日本右翼的網站、**功的網站或者是分裂分子的網站黑掉、Format掉也就是了,大家都會為你叫好!遺憾的是他們做不到,貧乏的知識和能力注定了他們做不到。因此他們就把目標轉向了國內網站,使用那些自動化的黑客工具或技巧,黑到誰算誰,於是一批這樣的網站就遭殃了,華東師范大學的主頁就是一個犧牲品,再就是利用一些國內黑客站點沒有自己獨立服務器無法控制安全的因素,攻擊這些站點,於是紅客聯盟、黑白網絡、牛族、小鳳居等就遭殃了,那麼對付換不了頁面的怎麼辦呢?於是就DDoS,於是天天安全網、劍客網站、安全焦點就無法訪問了,甚至囂張到其他論壇大發言論“xxx站被我黑了”以希望出名... 遺憾的是知道真相後大家對他有的只是鄙視。
就目前而言,為出名而喪失道德的這種趨勢有增無減,曾有不少人在QQ中問我:“我技術比紅客聯盟的lion強多了,為什麼我就沒他出名?”,我無語!同時也感到悲哀,媒體的導向害了一批人。想想我的好友冰河、FZK、小榕、GoodWell、天行、PP等,他們不是系統和管理專家就是編程高手,個個身懷絕技,若他們以那種道德淪喪的方式亂黑網站的話,只需一夜整個網絡肯定能鬧翻了天,但請你們看一看在國內那個被黑的國內網站上看到過他們的影子,你們所能看到的就是他們的編寫的黑客軟件在國外被所廣泛使用並倍受贊譽,你們看到他們留名的地方都是國外反動分子的網站。
去年我曾為《黑客X檔案》寫過“為黑客正名”的序,呼吁國內不要再糟蹋黑客這個神聖的詞語了,但遺憾的是在國內仍然不少人在肆意的踐踏,記得國內有位程序員朋友曾寫文章試問國內的所謂黑客,“你沒上大學可以原諒,但你讀過幾個RFC?TCP/IP網絡7層的准確名稱是?Windows真的很簡單?Unix你知道多少?確信會用c寫程序?... ”,不想再說了,只是想忠告那些急於成名的偽黑客,醒醒吧!好好學習,學真的本事,把你的安全技能用於為國內企業提供安全服務,以捍衛祖國的網絡長城,這才是人生價值最有意義的體現,否則等待你的也許將是冰冷的鐵窗生涯。