从Fackbook上看到,这些毛贼大约从5月23号就开始折腾#opchina了。可能还会更早一些,其他的地方暂没看到。一开始就是做了一些宣传图片,例如:
然后传授一些简单的寻找中国目标的方法:
24号开始商量行动的时间,集合越南、菲律宾的非主流黑客,并分享一些ddos攻击工具。
25号开始攻击第一个网站,严格意义上来说此次行动他们采用的方法都不能称之为攻击,只是通过各种搞笑的手段来实现用户访问某些特定URL的时候显示出一些不当言论而已。当然他们选择的目标也非常搞笑,例如这个--http://www.5jcom.net.cn/
紧接着他们真正的攻下了一个网站,篡改了网站首页(www.annat.com.cn 杭州安耐特实业有限公司)。之后通过网站自带的编辑器上传了一些静态资源,宣传攻破了部分网站,并公布了一些网站的后台密码。这种方法也算不上高级的攻击手段,他们并没有取得网站控制权。
http://www.lfnlw.gov.cn/ 临汾阳光农廉网 (已关闭)
http://www.ailianwan.com/ 爱莲湾国际旅游度假区官方网站
http://www.sglaw.cn/index.php 荣符律师事务所
……
有一些毫无基础的“越南黑客”也参与到攻击中来:
有一些通过简单工具获取部分数据后不知道该怎么办的“越南黑客”,大概是找不到网站后台。
通过一些漏洞影响用户浏览器显示内容的攻击也出现了。这种方法其实没有对服务器进行任何的篡改,只有访问到特定链接的时候才有效。(测试链接-- http://t.im/m6w2 )
宣称DDOS攻破了国内的网站http://www.moe.edu.cn/,然后,就没有然后了。。。
中国国际钢铁制品有限公司--http://steelchina.cn/index.html
还有一些小网站就不一一列举了。
再来看些来自 360天眼实验室 的专业统计数据:
1. 大网层面
首先,攻击如果发生,无论是流量性还是篡改内容性,主要会发生在80端口。我们看大网层面80端口的流量:
前提条件(5月29日下午6点360天眼实验室扩容了总体观察流量的容量,所以图中的流量上升主要是由于扩容):整体看,80端口无明显尖峰,流量业无明显增加。
再者,攻击中国网络的ip有很多在过去一直在攻击,比如某菲律宾ip地址:
又比如某日本ip地址:
确实有新出现的菲律宾,日本,越南地址,比如下面的越南地址,但是流量并不大。
2. 僵尸网络层面
从过去1个月活跃的僵尸网络主控情况,可以看出过去几天总体活跃主控数目并无变化:
我们看到少量流量型攻击中国政府网站所在ip地址的情况,但总体政府网站受流量型攻击数量很少,而且大部分是瞬间流量:
明确被流量型攻击的gov.cn网站的ip地址如下(注:虚拟主机原因,可能每个ip地址上都对应的有很多域名,但是此处仅列出了一个gov.cn域名)
104.31.217.2 www.tsxiyudao.gov.cn.cname.yunjiasu-cdn.net
104.37.244.203 178.gov.cn.v6qp.com
219.148.38.122 ab.hebtins.gov.cn
115.231.236.166 zf.lxws.gov.cn
112.121.187.251 www.lygsz.gov.cn
115.231.236.169 lygsl.gov.cn
60.169.1.63 8m2aq.myxedu.gov.cn
123.129.254.17 02qgkx7d0qq61nn.dhcp.sgrsj.gov.cn
115.231.236.191 www.jxclz.gov.cn
61.156.33.24 www.hzdmw.gov.cn
221.226.86.196 njaf.gov.cn
174.139.61.84 hnsgov.cn
125.88.190.11 2013.gaotai.gov.cn
截止目前为止,从28号晚开始从菲律宾、日本、越南过来的攻击确实有增多,扫描和cc攻击流量等有一些变化,但是本次opchina并没有像媒体宣传的那么惊心动魄,危害性并没有那么大,受影响的网站和正常时间比并无指数级爆发。而且大部分受影响的也是平时防护就很差的非关键网站。
(相关文章:《 国际黑客组织攻击中国?毛贼炒作而已 》)