产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
著名黑客cyberzeist最近入侵了fbi网站(fbi.gov),并将几个备份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了pastebin,数据内容包括姓名、sha1加密密码、sha1盐和电子邮件等。
【1.6 更新】黑客宣称攻破fbi尊龙凯时官方旗舰店官网利用的是plone cms系统的0-day漏洞。然而在这则消息放出后,plone坐不住了,其安全团队特别发布了一篇博客文章,表示:这件事情与我们根本无关,绝对是栽赃!具体是什么情况,请往下看。
fbi尊龙凯时官方旗舰店官网被黑,数据泄露
cyberzeist是个颇具名气的黑客,他曾是anonymous的一员,2011年有过黑入fbi的经历。除此之外,巴克莱、特易购银行和mi5都曾是他手下的受害者。
本次入侵fbi尊龙凯时官方旗舰店官网的具体时间是在2016年12月22日——cyberzeist宣称利用plone内容管理系统(cms)的0-day漏洞侵入了fbi.gov。plone的内容管理系统被认为是迄今为止最安全的cms,很多高级部门使用这个cms,其中就包括fbi。
cyberzeist解释说,他所利用的这个0-day不是他发现的,他只是想用fbi的网站测试一下这个漏洞,结果就成了。其他网站同样可能遭受相同的0-day攻击,比如说知识产权协调中心以及欧盟网络信息安全机构。
德国和俄罗斯的媒体相继报道了此次黑客入侵事件,而美国的许多主流媒体却刻意忽视了这件事。
fbi在得知了cyberzeist的入侵后,就立即指派安全专家展开修复工作,但是仍未修复plone内容管理系统的0-day漏洞。cyberzeist发现了fbi的修复工作后,并发了一条具有嘲讽性质的的推特。
他对这条推特进行了补充:
我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的freebsd,这份数据最早可以追溯到2007年。他们最后的重启时间是2016年12月15日晚上6:32。
cyberzeist透露说:
这个0-day漏洞是他从tor网络上买到的,而卖家不敢侵入fbi.gov这种网站。现在已经停止出售,我会在推特上亲自放出这个0-day漏洞。
该漏洞目前仍存在于cms的某些python模块中。
点击这里可以看到cyberzeist在pastebin之上的动态。
[1.6更新]plone回应:跟我们没有半毛钱关系
plone安全团队看到cyberzeist这样黑plone的cms系统,他们当然坐不住了。于是plone发了一篇博客全盘否认了cyberzeist的“发现”。
“plone的安全团队已经看到了cyberzeist的犯罪声明,并对此plone进行了检测,事实证明‘fbi被黑’是一个骗局。无论是plone还是在基于plone的系统都不存在0-day漏洞。”
620x0_1_q87_autohomedealer__wkgh2lzc6psabnrmaacuvsncvoo189.jpg
哇,好足的底气——这是要开撕的节奏吗?这是要打cyberzeist的脸啊。
matthew wilkes(plone安全团队的成员)解释了为什么他们的团队认为‘fbi被黑’和‘plone存在0-day漏洞’是骗局的原因。
原因一 ——版本不对
plone是用python语言写的且运行在zone的上层。zone是一个基于python的网页应用服务器。而在cyberzeist的推特中,他是这么写的“我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的freebsd”。你们造吗,freebsd 6.2只支持python2.4和2.5版本,但是plone并不能在这种老版本上跑。
原因二——哈希值、盐值不一致
cyberzeist所泄露的数据的密码哈希值、盐值与plone将生成的值不一致。这表明这些泄露的数据是在另一台服务器上批量生成的。值得一提的是,cyberzeist泄露的这些fbi邮箱在几年前就曾公之于众。(嘿嘿,就算fbi真的被黑了,也不是plone的锅)
原因三——文件名称不符
cyberzeist声称他在含有.bck扩展文件的网页服务器的中发现了备份文件里的登录信息。但是,plone数据库备份系统不会生成含有.bck扩展名的文件,而且plone生成的备份存储在web服务器目录之外。
wilkes说:
“修改这种行为方式很难,而且对于他来说没有任何好处。”
原因四-截图有破绽
cyberzeist在推特上上传的某些截图迫使fbi.gov暴露部分源代码。然而此类攻击通常是针对php应用程序的,对于没使用cgi-bin扩展类型的python网站是不可能成功。
有一张截图显示的是邮件信息,这些信息很有可能是从fbi服务器的邮箱日志里提取的。
“这很有可能是他自己的服务器日志,他虽然把这个服务器日志名称改得和fbi一样,但是却忘记把邮件显示的时区从印度标准时间到东部标准时间”
原因五-cyberzeist有“造假”前科
没错,cyberzeist在这之前曾有“造假”记录。而伪造这次攻击的目的,可能是为了捞钱。fbi.gov作为一个使用plone的知名网站,成功侵入它对于其他黑客来说具有很大的吸引力,很多黑客自然会到tor网络上去买这个实际上不存在的0-day漏洞。要知道这个0-day的售价是8比特币,约9000美金。
在cyberzeist的“谣言”传出之前,plone已经宣布了将在1月17日之前发布新的安全补丁,新的补丁与此次的0-day无关,旨在修复次要,低危的安全问题。
试用申请
