Github遭受攻击分析记录

蓝点网3月26日晚间消息，据蓝点网网友反馈有攻击者正在大规模的发起中间人攻击劫持京东和 GitHub 等网站，目前受影响的主要是部分地区用户，但涉及所有运营商。

此次攻击似乎与路由广播有关，通过骨干网络进行劫持 443端口，目前经测试 DNS 系统解析是完全正常的。

例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题，而国外网络访问这些站点并未出现异常情况。

由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任，因此用户访问这些网站时可能会出现安全警告。

从目前攻击情况来看此次发起攻击的黑客很可能是初学者，而攻击目的很有可能只是在测试但没想到规模如此大。

大量用户无法正常访问京东和GitHub：

从目前网上查询的信息可以看到此次攻击涉及最广的是 GitHub.io，其次用户访问京东等国内知名网站亦会报错。

查看证书信息可以发现这些网站的证书被攻击者使用的自签名证书代替，导致浏览器无法信任从而阻止用户访问。

自签名证书显示证书的制作者QQ昵称为心即山灵 (346608453)，这位心即山灵看起来就是此次攻击的始作俑者。

所幸目前全网绝大多数网站都已经开启加密技术对抗劫持，因此用户访问会被阻止而不会被引导到钓鱼网站上去。

如果网站没有采用加密安全链接的话可能会跳转到攻击者制作的钓鱼网站，若输入账号密码则可能会被直接盗取。

注 ：此QQ号从此前某数据库里可检索出使用者为某校高中生，不过尚不清楚是高中在校生还是已经从该校毕业。

注2：目前关于黑客身份还在多方追踪中尚未确定，至于是高中生还是已经毕业的学生或者其他身份暂时还未知。

攻击者可能是初学者正在进行测试：

从攻击者自签名证书留下的这个扣扣号可以在网上搜寻到部分信息，信息显示此前这名攻击者正在学习加密技术。

这名攻击者还曾在技术交流网站求助他人发送相关源代码，从已知信息判断攻击者可能是在学习后尝试发起攻击。

但估计他也没想到这次攻击能涉及全国多个省市自治区的网络访问，而且此次攻击已经持续四个小时还没有恢复。

另外从这名攻击者如此高调行事的风格来看也极有可能是初学者，毕竟此前尝试大规模劫持的还在牢里没出来呢。

据目前得知消息，Github，Cloudflare某个节点，京东等几大家都被攻击，所以好好做好安全

V2EX社区也是用的Cf的节点，补一张图

版权属于：奥秘Sir（除特别注明外）

本文链接：https://cloud.tencent.com/developer/article/1793218

本站文章采用 知识共享署名4.0 国际许可协议进行许可，请在转载时注明出处及本声明！