光影小舖

[cheeren]

從昨天開始(到目前仍零星出現)，如果你是中華電信光世代或固定 3 IP 的用戶，當你打算以瀏覽器(無論是 IE 或 Firefox 等等都會)連 tw.msn.com、taiwan.cnet.com、zdnet.com.tw 及 tw.yahoo.com 等知名網站，都會偶而被轉址到 www.dachengkeji.com/article/index.htm，或是 www.dachengkeji.cn 這個中國網站。
目前已有不少人回報：
http://forum.icst.org.tw/phpbb/viewtopic.php?f=20&t=16458
以及
http://www.mobile01.com/topicdetail.php?f=300&t=962543
所以當你發現你有上述狀況，不要以為自己的瀏覽器被綁架。

目前眾說紛紜，有網友猜測：
http://blog.richliu.com/2009/03/05/743/#more-743

這是我認為最有可能的猜測。

也就是說，可能是：TCP Connecting Hijacking: MAN-In-The-Middle Attack。
問題是，這是困難度極高的攻擊方式，必須要入侵到客戶端和伺服器間的裝置，通常是 router 或 ATM switch！
而且能在這些裝置中修改設定！
這是極困難的攻擊。上述那個網頁己猜測是某家設備廠商的裝置被破台，我就不再落井下石了。

最可惡的是，中國黑客已在轉址的那台伺服器上放置惡意程式碼！
所以建議 Hinet 使用者，不然就擋掉那個伺服器，不然乾脆最近改用 Firefox。
因為 Firefox 不會執行 VBScript，理論上惡意桯式無法自動執行。
要擋掉中國那個爛網站的方法，請參考這篇文章：
http://blog.yam.com/zhiqingblog/article/19778531

千萬要注意！一定要照做！

還有，雜誌不要全信，像這篇：http://news.networkmagazine.com.tw/secruity/2009/03/05/11128/
亂猜而已！


_________________
我是黑喵！
歡迎參觀我的個人網站：http://www.cheeren.com/

[Tarrega]

剛才才看到相關的報導,
試了一下, 尚未被重導中


_________________
我的Flickr相本

[cheeren]

[Tarrega]

[Luna蟬]

嗯...我也不是

但是我用Firefox無法登入小舖

怪哉


_________________
謝謝您的觀賞，歡迎下次再來~

[cheeren]

情況比我想的還要再糟！
專家認為，對手這次並不是使用 MITM 手法，而是比較簡單的 IP spoofing。
只是可能 Windows 和 Linux 的 TCP/IP stack 都存在某些「捷徑」，讓不正常的 TCP 會被接受。
請參考下面這一篇。
大規模網頁綁架轉址：威脅未解除，但專家都猜錯了
看樣子 backbone 被入侵的那台機器還沒被找到！
更氣人的是，怎麼猜都和中華電信有關，結果他們居然出來這麼一篇回應：
中華電信：與神秘網頁轉址攻擊無關


_________________
我是黑喵！
歡迎參觀我的個人網站：http://www.cheeren.com/

[vov]

反正先撇清責任再慢慢修復


_________________