讲讲2020/3/26Github遭中间人攻击事件

本文最后更新于:几秒前

原标题:世界上最大的男同性恋GayHub遭到443端口劫持,是人性的毁灭还是道德的扭曲?

本博文上半篇转载【 https://blog.qwqdanchun.cn/archives/807 】的博文,转载如下:



转载

GitHub今晨遭遇大规模中间人攻击

昨晚6,7点左右,国内访问所有的 github pages 页面开启 HTTPS 的话证书都变成下面这个

upload successful

今晨,github.com也遭受了相同的中间人攻击

upload successful

谷歌浏览器提示不安全

upload successful

证书与昨晚的相同
疑似GitHub等网站遭到了大规模中间人攻击 。

中间人攻击(英语:Man-in-the-middle attack,缩写:MITM)在密码学和计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的Wi-Fi 无线接入点的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。

一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。

简而言之,所谓的中间人攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。

奇特的是,可以实现此攻击需要劫持运营商或者dns才有可能实现,但是这种公然留qq邮箱的做法就十分迷惑

upload successful

本账号疑似真实姓名:张勇 ,黑龙江人???
经搜索,该用户曾在 https://blog.csdn.net/yhyhyhy/article/details/51248497#comments 帖子下评论,csdn账户: https://me.csdn.net/blog/qq_29158525 ;引出qq: 29158525

upload successful

本账号疑似真实姓名:周言諭 ,台北人???

upload successful

本账号疑似真实姓名: 谢邵 ,河南人???
据不可靠消息来源: https://www.hottg.com/liyuans/p31809.html 此邮箱可能归属于某三位数公司???

upload successful

另有v2ex老哥声称之前就看到过这个邮箱劫持其他域名

upload successful

证书生成疑似参照此文章:https://www.lagou.com/lgeduarticle/52972.html(是否参照存疑,不过原理确实相同,仅加密算法有所更改)

曾在贴吧提问: https://tieba.baidu.com/p/400626957?red_tag=3454236974

从论坛其他人评论可以得到其qq群关系:


群号:4823518 昵称:张勇
群名:建三江一中同学
群介绍:三江一中89级92届同学,,本届的加入,加入必须写名字!谢
群号:66136842 昵称:张勇
群名:亲友群
群介绍:沟通
群号:69386774 昵称:帅哥5号  张勇
群名:帅哥靓女对对碰
群介绍:命运负责洗牌,但是玩牌的是我们自己!
群号:72876767 昵称:张勇
群号:10456040 昵称:张勇
群名:synjones
群介绍:http://www.synjones.com
群号:13602636 昵称:灵山-D3
群名:★城东新居—D区★
群介绍:哈尔滨城东新居,群策群力,共建美好家园。(有好的主张,可以发到群论坛)
群号:15116517 昵称:灵山-D3
群名:城东新居
群介绍:小区业主维权的专家,溪畔家园业主委员会的李主任,联系电话是13069708074。大家回家
群号:15376336 昵称:心即灵山
群名:金龙卡服务群
群介绍:内部专用
群号:32068923 昵称:心即灵山
群名:城东新居高级群
群介绍:希望大家都能为本群和小区做一些贡献。都想一想办法,怎样能解决我们小区现存的问题。
群号:19466772 昵称:我想回到以前
群名:张兴庄吧
群号:52260534 昵称:我想回到以前
群名:巧
群号:1363550 昵称:(り Remote、
群名:都四班的
群号:4250637 昵称:(り Remote、
群名:QQ群
群介绍:http://www.167cq.com/
群号:70152084 昵称:谢绍。
群名:国专08三班
群介绍:国际经济与贸易专科0803班
群号:84351791 昵称:帅气G★Remote
群名:荣华09汽三
群介绍:-
群号:92050039 昵称:(り Remote、
群名:v1p{會員}倲.总群
群号:92118193 昵称:(り Remote、
群名:高楼庄⒐⑥界黄金一班
群号:92637291 昵称:(り Remote、
群名:小伙伴
群号:95128769 昵称:(り Remote、
群名:藝术学院体育部
群介绍:发掘、培养体育特长学生;做好对班级的考核工作;协助其他部门开展工作。
群号:6888129 昵称:(り Remote、
群号:9496270 昵称:(り Remote、
群名:21中
群号:11604443 昵称:収惢養鮏.┊
群名:安阳铁路中学高06
群介绍:班级群外人勿进
群号:22739863 昵称:(り Remote、
群名:华□豫□学□院。
群号:29121641 昵称:(り Remote、
群名:乀闭丄眼﹋⒑指紧筘
群号:30215035 昵称:(り Remote、
群名:看群公告!好消息!
群介绍:免费拿話費兩百块!群里的朋友们用手机拨打1259064212参加侣友在线答题就可以了,我今
群号:32591681 昵称:(り Remote、
群名:高三一班群
群介绍:创建此群的目的:仅仅是为了提供朋友之间的交流。在此群里,拒绝一切色情粗俗
群号:34421223 昵称:(り Remote、
群名:魭滴系鲥緔
群介绍:IC,IP.IQ卡,通通告诉我密码!!
群号:38607494 昵称:(り Remote、
群名:ωǒ錯了?
群介绍:莪們都昰好孩孓。异想’兲開徳孩孒︶ ̄~°
群号:56483925 昵称:谢邵。
群名:国专0803班
群介绍:国专0803

总结:其人曾用qq:346608453,29158525,23853637;地址等不明,有代码基础,有能力实现本次攻击,疑似qq都是盗来的,无法确定本人身份

最后提醒:

《中华人民共和国刑法》第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

千万要知法守法,技术无罪,但是拿来做坏事可是要被抓进去的哦

11:03前来更新

攻击者换了一个证书,新的邮箱为 1396060845037@mymail.com ,截图如下

upload successful

第一个qq里的网址可能是因为这个qq是盗的,如果这样的话,几个qq之间没有联系也就正常了

upload successful

可能是最后的更新(2020/3/28 9:38)

昨天文章写的有些急,也受了一些言论的误导,出现了一处错误,csdn的昵称后缀是随机生成的,因此推出来的后两个qq号与此无关。而在昨晚,该用户修改签名为:“QQ号码被盗,现已恢复”,并在随后关闭空间(确实很多老哥前去轰炸),这一波貌似洗白的操作却是疑点重重。

首先,大家基本已经认为这个号是被盗的了,但是号主现身就有些奇妙,作为一个 从事软件开发工作近 16 年( CSDN 介绍 )的人,被长时间盗号,却不找回或无法找回,突然出事了便轻松找回,可能性???

而且,这样的话,另一个昨天没用到的点就有意思了,928天 qq达人,如果是盗号,那盗号的人也是把这个号当大号用了叭。这样我们可以假设确实被盗号,那么如果明天达人就该断了叭。找回了一个三年多没用的号,发完解释还会占着手机那一个qq登录的位置吗,大概率不会。而如果不是盗号,咳咳,那这位张勇兄弟大概就是真的勇了叭,哈哈。

其实说了这么多,就是我们这些GitHub重度用户,想要一个合理的解释,不管是有些人猜测的G||F||//,还是一线小兵误操作,抑或是黑客在家闲极无聊等等。如果是误操作或被黑,大家就当吃瓜一场,就算是墙的问题,我们也好提前搬好仓库吧。



好的,视线转回来,我要开始bb了。

刚开始知道这件事还是我的好奥秘Sir QQ空间里的转载:

upload successful

哦,发生了什么?

于是拿着QQ号去网上一找,冷汗直流:

这个QQ号的主人在2020/3/26通过手段劫持了Github、CloudflareCDN、京东网站,不过证书有问题被截下来了。

为什么冷汗直流?因为我全站绑定在Github+CloudFlare上,那岂不是我也被影响了吗?

至于为什么我没有察觉到,是因为3/26-3/27我在认真学习,没有上github

后来查找了一下,这次攻击只是影响了国内的互联网,CloudFlare劫持也只是针对美国那几个节点。

正好,上次嫌美国节点慢,通过自代理的方式节点到香港线,也就是我和攻击玩了个擦边球。

于是我就放心了.

但这次攻击不是一般的诡异,有很多疑点,当我松了一口气后又觉得不对,请听我慢慢讲解:

1.本次攻击并非DNS劫持,而是中间人劫持

DNS劫持那是G||F||\/\/的老把戏了,如果这一次这三家遭到DNS劫持,也许我也就懒得说了,毕竟这已经见怪不怪了,手动绕开来就可以了。

但是这一次,是七层精准劫持,也许这个名词不懂,那就是中间人攻击特定端口.

什么是中间人?

MITM,全称Man-in-the-middle attack,这种攻击在一定程度上能突破HTTPS,通俗的来讲是这样的:

先说正常https传输:

upload successful

这种加密方式叫非对称加密,应用的很广泛,至于为什么要用非对称加密而不用对称加密,这不是这里该讨论的.

假设有个黑客,想要窃取他们之间的信息:

upload successful

为什么毫无卵用?因为,非对称加密有个特点,用公钥加密的东西就不能用公钥解密了,而公钥是公开的.

但是,这样还有攻击的方式:

upload successful

这种黑客卡中间的方式,叫中间人攻击.

而且这种攻击,做的好就可以神不知鬼不觉窃听通话甚至篡改内容,最惨的是你都不知道被窃听了,用户和服务器都以为自己和对方直接通话,这才是最阴险的地方.解决办法只有HSTS。

至于用户是怎么被误导到黑客的,这就相当有意思,这就是路由污染,我们所说的ip查找,其实没有说有ip就可以直接找到对方了,还是要经过路由的.

比如说我第一次上百度(假设沿途完全没有缓存):baidu.com,真正完整的经过是这样的

  1. 电脑查找hosts,没有baidu
  2. 电脑于是向DNS(假如是8.8.8.8)发送请求包,问baidu.com在哪?
  3. 8.8.8.8这台服务器查了查,没有缓存,于是回头和我说稍等,自己去联系.com服务器
  4. .com服务器查了查,和8.8.8.8说,你去北京I根域名服务器找,我这里没有缓存
  5. 于是8.8.8.8又屁颠屁颠去北京I根域名服务器找NS记录,I根查了查,你去ns1.baidu.com找,它的ip是202.108.22.220
  6. 于是8.8.8.8回来跟我说,nameserver是202.108.22.220
  7. 于是我去202.108.22.220,向上一级路由(我的路由器)问202.108.22.220在哪?
  8. 路由器不知道,于是向上一级询问
  9. 上一级返回给我的路由器稍等,自己还要去上上级查询,我这里是117.149.*.*
    (此处省略17步路由查询)
  10. 最终,层层路由查询告诉我,ip202.108.22.220在北京联通,我帮你找到了
  11. 发个握手包,连接,返回baidu.com的ip 39.156.69.79
  12. 又一次经历7-10步,我与百度连接成功
    ||完了?嘿嘿,其实还没完
  13. 百度301重定向将我从 baidu.com 定向到 www.baidu.com
  14. 又一次经历1-10步,最终,百度界面华丽丽地展开来.

那么,中间的路由查询变得很有意思,如果我在骨干网那么干,故意把 github.io 路由到我的服务器上,是不是所有人都被劫持了?

很不巧,这一次真的就是那么干的.

2.只劫持443端口,没有劫持80端口

有人curl一下github.io,80端口TTL是51,443就变成56了

更nb是,有人ping了一下github.io:80和github.io:443,前者延迟280ms,丢包率25%,后者延迟20ms,不丢包.

所以这玩意还能降低延迟?

我笑了.

更厉害的是,由于是中间人攻击,有网友说如果信任证书还能上github,不过速度很慢.

也对,谁叫他手贱修改了全国路由,现在他的服务器正在遭受全国的DDoS.

敢情难道是他想给全国人民一个惊喜,反向代理gihub以提高访问速度?

3.留下QQ邮箱

【以一己之力攻击国家骨干网污染三个大网站的路由】和【留下自己的QQ邮箱】,干这两件事情的真的是同一个人吗?????

有人说这是仿照一篇文章伪造的,文章什么我就懒得贴了,反正伪造证书这种事情我也不会( ﹁ ﹁ ) ~→

但是,能攻击国家骨干网却拿了个自签名的证书攻击,这种事情都可以上诡异录了,唯一的解释可能是混淆视听,或者是大攻击前的试水,亦或是真的QQ被盗了,来当个替罪羊。

4.声称自己QQ被盗

这是QQ对应的空间,3/27晚上已无法正常访问,这是之前截图的:

upload successful

5.同时攻击了京东和CloudFlare

如果说只攻击了Github,那我能肯定,多半是G||F||\/\/技术人员手动失误,但你把京东给搞了,我觉得这……没搞懂啊,所以这真的可能是试水咯?

6.初学者?

网上有很多人说这是个初学者,想测试一下,没想到惹出那么大的事情.

好啊,初学者随随便便搞塌国内Github京东CF,再学一点签个真实证书,下次干脆把gov.cn全站劫持了,是不是这样才能让zf了解到https的重要性.

如果真的是初学者,那么从侧面就可以讽刺我国网络安全堪忧啊.

教练,我想学这个.

7.这么值得报道的新闻,官媒毫无反应

我觉得这就很有意思了,我不说,大家应该知道为什么

后言

关于这次被攻击,为什么Github错误页面会被显示呢?

1.Github开了HSTS,匹配的头字符不对,浏览器直接拦截,连忽略警告,继续访问这样的字符都没有,吓得我赶紧给我全站开了HSTS.
2.证书是个自签名,按理说能攻击骨干网的大佬伪造个证书应该很容易,为什么用了这个呢?

另外,以国内的环境,大家上Github扔代码一定要用SSH,因为SSH双方是强加密的,可以预防中间人攻击!


 目录