近期涉及Turkguvenligi可能比使页面涂污更能造成破坏内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于Turkguvenligi可能比使页面涂污更能造成破坏最新消息。
攻击者在周末更改了主要网站上的Internet路由信息,以将用户重定向到不同的页面,从而影响了数十家公司,其中包括Microsoft,联合包裹服务公司和计算机生产商Acer。
9月4日,受影响站点的访客看到一个黑页,上面写着一条消息,内容为:“黑客入侵并非……我们TurkGuvengligi宣布这一天为世界黑客日-玩得开心。Guvenligi的土耳其语是“安全性”。尚不清楚是由单独的攻击者还是由一个团体执行了重定向。
攻击者破坏了NetNames的服务器,该公司为各种网站提供域名系统服务。DNS记录就像电话目录中的条目,其主机名被转换为实际的IP地址。攻击者设法更改了实际目录条目,以将主机名指向其控制下的IP地址。
Sophos高级技术顾问Graham Cluley在Naked上写道:“重要的是要注意,网站本身并未遭到黑客攻击,尽管对于Web访问者而言,他们体验的差异不大-在黑客控制下的网页。” 安全博客。
根据跟踪网站污损的网站Zone-H的说法,大约有186个网站似乎受到了影响。受影响的组织包括可口可乐,国际刑警,Adobe,戴尔,哈佛大学,F-Secure,Secunia,UPS,英国的The Register and The Daily Telegraph, Acer,Betfair,Vodafone,法国汽车品牌Peugeot和地理。微软和全球汇丰的各个/地区特定的网站也被定位为目标。他们的DNS记录被修改为指向“ yumurtakabugu.com”上的多个名称服务器。根据DNS记录,域名解析为托管提供商Blue Mile拥有的IP地址。
Turkguvenligi使用了SQL注入,该技术是将命令输入到网站上的表单中的命令,例如登录框和注释字段。如果该站点不能正确处理输入到表单中的文本,它将把它们传递到后端服务器和数据库并执行命令,从而为攻击者提供他们不应访问的信息。根据NetNames给客户的一份声明,Turkguvenligi在周日深夜向NetNames系统提交了重新授权订单,以更改主DNS服务器的地址。
NetNames说:“流氓名称服务器随后提供了不正确的DNS数据,从而将旨在提供给客户网站的合法Web流量重定向到了一个持有Turkguvenligi品牌的黑客持有页面,”
该公司在几小时内撤消了更改,但是由于服务器通常会缓存DNS记录,因此需要花费一段时间才能传播更正后的信息,从而使用户无法访问站点。看来Turkguvenligi通过攻击成功地破坏了NetNames系统上的至少一个帐户。NetNames说,这些帐户已被禁用,以防止以后再尝试。
Turkguvenligi可能比使页面涂污更能造成破坏。修改DNS记录后,对于攻击者来说,建立克隆站点并收集登录名和密码信息(尤其是在受影响的站点上)将是一件简单的事情。用户将在地址栏中看到正确的URL,并且将无法得知他们被钓鱼了。
登记册确认攻击没有违反实际地点。网站上的Drew Cullen写道:“据我们所知,没有试图渗透到我们的系统中,但该出版物关闭了所有需要密码的服务,以防万一。
Sophos高级安全顾问Chester Wisniewski,DNSSEC(许多注册服务商现在正在部署的一种安全措施,以防止DNS篡改)可能无法阻止这种攻击,因为攻击者提交了更改提供商级别记录的实际命令,告诉eWEEK。
Wisniewski说,DNSSEC使用公共密钥密码术对网站的DNS记录进行数字“签名”,攻击者能够使用NetNames密钥对新记录进行签名。他说,DNSSEC旨在阻止DNS服务器受损的缓存中毒之类的攻击,无法防止DNS提供者受到攻击并签署错误的DNS记录。