代码托管网站GitHub上个月底遭到了DDoS攻击,攻击者劫持百度脚本替换恶意代码利用访问中国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。这一切当然没有躲过Google的监视,Google安全博客发表文章指出,JS劫持攻击最早发生在三月初而不是我们以为三月中下旬。
Google的Safe Browsing系统在虚拟机里扫描网站寻找恶意内容,它每天分析数百万网页。Google工程师分析了3月1日到4月15日之间的数据,发现Safe Browsing第一次探测到百度域名的内容劫持是发生在3月3日,最后一次是在4月7日。攻击的执行分为多个阶段,第一阶段是测试,时间是在3月3日到 3月6日,测试目标IP 114.113.156.119:56789(北京电信通),请求次数被人为设限;3月4日到6日,请求限制被移除。第二阶段是在3月10日到13日,最 早的目标IP 是203.90.242.126(香港),请求一开始是通过HTTP,之后升级到HTTPS。3月14日开始同时通过HTTP和HTTPS攻击 d3rkfw22xppori.cloudfront.net(greatfire.org利用亚马逊cloudfront搭建的一个屏蔽网站镜像),3 月17日攻击停止。3月18日,更多cloudfront镜像域名成为攻击目标。JS内容替换在3月20日完全停止,但HTTP注入在继续。JS内容替换 会破坏原内容功能,但HTTP注入不会。对cloudfront主机的攻击在3月25日停止,Github成为新的攻击目标。3月26日,百度的明文脚本 被拦截替换了一个恶意JS代码,攻击github.com/greatfire/和github.com/cn-nytimes/,4月7日攻击停止。 Google称,有8个百度域名遭到劫持,被注入不同大小的JS代码。Google认为,全面启用HTTPS加密将能防御此类攻击。相关阅读:中国数字时代Github遭网络大炮攻击专题
from 中国数字时代 http://chinadigitaltimes.net/chinese/2015/04/%e5%a5%87%e5%ae%a2%e8%b5%84%e8%ae%af%ef%bd%9cgoogle%e7%9c%bc%e9%87%8c%e7%9a%84%e7%bd%91%e7%bb%9c%e5%a4%a7%e7%82%ae/