疑似DNS被綁架 多家知名網站遭網頁轉址攻擊

昨天中午,客戶緊張地打電話來,說他們公司的網址會被轉到一個簡體字的色情網頁,請我協助察看是怎麼回事,我直覺認為這是一件DNS綁架事件,經過簡單的 traceroute 檢測後,發現應該是上游的 DNS server 被污染了,只能請客戶靜觀其變,並沒有辦法立刻解決此狀況。

然後我 check 一些科技網站的新聞,赫然發現這是一個大規模的攻擊行動,連 CNET、MSN 都遭到轉址攻擊了!



下面轉貼幾則相關的新聞報導,提供給大家參考,希望此狀況能盡快被解決。

神秘網頁轉址事件 疑為新型態攻擊手法

ZDNet記者蔡宜秀/台北報導
2009/03/05 20:36:03

關於CNET、ZDNet、MSN等知名網站的網頁疑遭轉址攻擊一事,資安專家表示,該事件有可能是新型態的網路攻擊手法。

「就微軟的追查結果來看,CNET與MSN網站遭網頁轉址攻擊一事,比較像是駭客在實驗新的網路攻擊手法,」微軟亞太區全球技術支援中心專案經理林宏嘉說。

他進一步解釋,從部分網友在瀏覽器上輸入MSN或CNET等網站網址或者是IP等方式連結該網頁都會被攔截轉址到某特定網頁 (http://www.dachengkeji.com/article/index.htm)、該轉址網頁內容不斷改變(從純文字連結轉變成圖文連結),以及該轉址網頁的某些連結含有惡意程式等事情來看,整個事件並非單純的業者遭受駭客攻擊,比較像是駭客正在實驗新型態的攻擊手法。

CNET與MSN網頁並未遭到駭客綁架。網路上於昨(4)天陸續傳出打開MSN台灣網頁或進入CNET Taiwan網站時,會被導引至大陸網頁,針對該事,CNET位於新加坡的區域總部表示網頁伺服器並沒有遭受攻擊;而微軟也表示內部系統沒問題。

導致網頁轉址攻擊行為發生的原因仍是未知數,有些部落客自行作了追查;另有IT媒體則引用專家說法,將問題指向攻擊事件發生的根本原因出在電信業者的DNS主機遭攻擊。對此,林宏嘉與知名資安部落格「大砲開講」站長邱春樹等資安專家則有不同的看法。

「導致該事件發生的原因,可能是電信業者的DNS主機遭攻擊,也可能是DoubleClick遭攻擊等,至今仍無法確定。」邱春樹說,不定頻率的網頁轉址攻擊行為將導致相關業者無法確切的追查出駭客的攻擊的手法(路徑),也因如此,無法指出問題到底是發生在誰身上(即誰被攻擊)。

專家認為,此事需要網友、網路骨幹與相關服務供應商一同查緝來源。

「不定頻率的網頁轉址攻擊手法使得相關業者難以單靠己力進行追緝。」微軟的林宏嘉指出,截至今日,尚未有人可以明確指出導致該事件發生的原因,面對該狀況,除需要網路骨幹與相關服務供應商通力查緝外,也需要網友回報其是如何遭受網頁轉址攻擊。

「由於目前仍未查明為何會有網頁轉址攻擊事件發生,建議網友不要因為一時好奇點選轉址網頁內的連結。」他說。

DNS遭攻陷,多家知名網站慘被攔截轉址

網路資訊 謝至恩/報導
2009/03/5 上午11:20

從3月2日上午開始,多家知名網站如C|NET Taiwan與ZDNET Taiwan、臺灣MSN(tw.msn.com)等,一進入其網站首頁或網站中的不特定連結,均會被攔截轉址到某特定位於中國大陸主機的網頁。

根據部分使用者表示,透過IE或Firefox瀏覽器開啟特定網站時,原先正常的網頁被轉址到http://www.dachengkeji.com/artical/index.htm網頁(疑有惡意程式碼,請勿隨意開啟),該網頁內容編碼為簡體中文GB碼。

截至3月4日下班前,該問題網頁尚無加入任何惡意程式碼,但隨即在3月4日晚間7點多,該網頁追加一個跳出式網頁訊息,證明該網頁正在演化中,有可能會隨時增加惡意程式碼。果不其然,至3月5日凌晨,該問題網頁開始加入惡意程式碼,正式成為惡意網頁,開始在特定區域肆虐。

由於遭到綁架轉址的網站均為國內知名網站,因此一時間引起許多使用者的恐慌,以為自己的電腦遭到入侵或是綁架。然而該現象遍及多家網站與多位使用者,顯然並非單一網站遭到入侵或攔截。據國內多位安全專家表示,可能是ISP的DNS伺服器遭到入侵綁架,不定時回報錯誤的IP位址給查詢DNS的使用者。事實上,2007年9月6日,微軟MSN臺灣地區首頁也傳出因微軟DNS設定錯誤而遭到轉址的事件,由於僅僅是技術上的瑕疵,微軟也立即修復該錯誤,因此未傳出災情。

然而,根據編輯部進一步測試,若直接輸入zdnet.com.tw的IP位址(202.176.217.17),不經過DNS查詢,仍然發生連線遭到攔截被轉址到無關的中國網頁去。

另一方面,該網頁轉址攻擊行為並不固定攻擊某些特定網址,而是針對不特定使用者,特定網站不定時發生轉址的現象,使得追蹤查緝的行動更為困難。
初步判斷應為零時差攻擊

趨勢科技資深技術總監戴燊表示,原則上無法防禦DNS綁架攻擊,因為問題點並非出自於用戶端的電腦或系統,而是受到更上層遭到污染的DNS影響所致。但為何該轉址行為會不定時出現,目前尚無定論。某位不願具名的資訊安全專家推估,可能是因為網路骨幹的DNS服務是由多臺DNS伺服器同時運作,某臺 DNS伺服器遭到入侵綁架,因此只有當使用者發出DNS查詢要求時,輪詢到該臺被污染的DNS伺服器才會出現轉址現象。
使用者如何自救?

目前為止,根據各論壇網站的討論,傳出災情使用者多數使用HiNET的網際網路服務,但也有少數使用者回報使用3.5G上網也會發生網址綁架,初步判斷使用臺灣的公用DNS主機容易遭到攻擊,使用者可以先將網路連線設定中的DNS位址,改為美國DNS主機如OpenDNS所提供的服務位址(208.67.222.222與208.67.220.220)。企業用戶可先將自家DNS主機的上層DNS位址改為OpenDNS所提供的DNS服務位址。根據本刊編輯部測試,的確不再發生網址綁架的現象。

根據Whois反查網域的資料,可得知該網域登記代表人為xinfazhang,登記在中國河南省,並登記一組中國大陸地區電話號碼,但根據編輯部試撥的結果是空號,顯然該Whois所登記的資料為假資料,但無法證明dachengkeji.com為此次攻擊事件的發起者。

截至目前為止,尚無ISP或其他資訊安全廠商針對該轉址事件的正式說明,據瞭解相關單位已經開始追查攻擊來源與遭污染的DNS主機,若有進一步消息,本刊將繼續追蹤報導。

微軟MSN首頁遭轉址 疑上層DNS被入侵

iThome online 文/蘇文彬 (記者)
2009-03-06

由於並非所有使用者登入皆發生問題,專家指出問題點應是首頁上層DNS遭入侵,導致網站首頁發生被轉址問題。

台灣微軟MSN及CNET等網站首頁本週發生遭轉址事件,對此資安業者表示,應是上層DNS遭入侵所致。

根據網友在網路上的反映,本週部份連入MSN或CNET首頁的網友,被連結至某一特定中國網址(http://www.dachengkeji.com /artical/index.htm),由於並非所有網友皆發生此問題,部份網友壞疑自己電腦中毒,甚至引發網路上的討論。

對此,台灣微軟線上服務事業群行銷經理鍾婉珍表示,微軟並未接獲使用者的回報,而是從媒體報導後得知此訊息。而據微軟自己的瞭解,MSN系統正常並無被入侵的問題,不過微軟還交由內部安全部門調查,具體的原因並不清楚。

不過有資安業者指出,部份網站首頁轉址應與DNS遭入侵有關。

趨勢科技技術顧問戴燊表示,趨勢是在接獲用戶的回報,在電腦要進入網站首頁時得到趨勢科技軟體的示警,因此開始著手調查問題。據該公司網站分析追踨資料顯示,這些網站首頁IP與Domain位址確實被轉到不正確的異常網址,網友進入後被轉至一個中國網站,經查該網站為行銷廣告內容。

因並非所有用戶皆發生問題,戴燊認為問題點出在這些網站首頁的上層DNS管理。由於上層DNS結構複雜,因此難以查出是哪一層遭入侵,為防止問題發生,ISP業者需隨時留意監控DNS狀況。

賽門鐵克資深技術顧問蕭松瀛表示,由於DNS層層結構複雜,每層資料同步時間不一,因此難以追查問題所在,網友受影響的時間也因瀏覽器同步先後有別而影響快慢不一,為防止轉址至其他網站可能透過連結下載到惡意程式,建議網友可以提高瀏覽器的安全等級,確認連結沒問題後再進入。企業管理者則可從閘道端將有問題的網址先封鎖起來。

據瞭解,2007年時微軟MSN首頁也曾發生過一次轉址問題,不過當時係微軟內部將DNS設定錯誤,導致被其他網友發現而轉址至另一網址,事後微軟也立即解決問題。

留言

這個網誌中的熱門文章

台灣老三台1978~1998懷舊西洋電視影集回顧

小甜甜生命中的五個男人

谷村新司的經典歌曲「昴」