FBI网站被黑致数据泄露?官方称这根本是个骗局

news/2024/5/15 3:40:25/文章来源:https://blog.csdn.net/weixin_33913332/article/details/90387642

著名黑客CyberZeist最近入侵了FBI网站(FBI.gov),并将几个备份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,数据内容包括姓名、SHA1加密密码、SHA1盐和电子邮件等。

【1.6 更新】黑客宣称攻破FBI官网利用的是Plone CMS系统的0-day漏洞。然而在这则消息放出后,Plone坐不住了,其安全团队特别发布了一篇博客文章,表示:这件事情与我们根本无关,绝对是栽赃!具体是什么情况,请往下看。

FBI网站被黑致数据泄露?官方称这根本是个骗局

FBI官网被黑,数据泄露

CyberZeist是个颇具名气的黑客,他曾是Anonymous的一员,2011年有过黑入FBI的经历。除此之外,巴克莱、特易购银行和MI5都曾是他手下的受害者。

本次入侵FBI官网的具体时间是在2016年12月22日——CyberZeist宣称利用Plone内容管理系统(CMS)的0-day漏洞侵入了FBI.gov。Plone的内容管理系统被认为是迄今为止最安全的CMS,很多高级部门使用这个CMS,其中就包括FBI。

CyberZeist解释说,他所利用的这个0-day不是他发现的,他只是想用FBI的网站测试一下这个漏洞,结果就成了。其他网站同样可能遭受相同的0-day攻击,比如说知识产权协调中心以及欧盟网络信息安全机构。

FBI网站被黑致数据泄露?官方称这根本是个骗局

德国和俄罗斯的媒体相继报道了此次黑客入侵事件,而美国的许多主流媒体却刻意忽视了这件事。

FBI在得知了CyberZeist的入侵后,就立即指派安全专家展开修复工作,但是仍未修复Plone内容管理系统的0-day漏洞。CyberZeist发现了FBI的修复工作后,并发了一条具有嘲讽性质的的推特。

FBI网站被黑致数据泄露?官方称这根本是个骗局

他对这条推特进行了补充:

我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的FreeBSD,这份数据最早可以追溯到2007年。他们最后的重启时间是2016年12月15日晚上6:32。

FBI网站被黑致数据泄露?官方称这根本是个骗局

CyberZeist透露说:

这个0-day漏洞是他从tor网络上买到的,而卖家不敢侵入FBI.gov这种网站。现在已经停止出售,我会在推特上亲自放出这个0-day漏洞。

该漏洞目前仍存在于CMS的某些python模块中。

[1.6更新]Plone回应:跟我们没有半毛钱关系

Plone安全团队看到CyberZeist这样黑Plone的CMS系统,他们当然坐不住了。于是Plone发了一篇博客全盘否认了CyberZeist的“发现”。

“Plone的安全团队已经看到了CyberZeist的犯罪声明,并对此Plone进行了检测,事实证明‘FBI被黑’是一个骗局。无论是Plone还是在基于Plone的系统都不存在0-day漏洞。”

FBI网站被黑致数据泄露?官方称这根本是个骗局

哇,好足的底气——这是要开撕的节奏吗?这是要打CyberZeist的脸啊。

Matthew Wilkes(Plone安全团队的成员)解释了为什么他们的团队认为‘FBI被黑’和‘Plone存在0-day漏洞’是骗局的原因。

原因一 ——版本不对

Plone是用python语言写的且运行在Zone的上层。Zone是一个基于python的网页应用服务器。而在CyberZeist的推特中,他是这么写的“我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的FreeBSD”。你们造吗,FreeBSD 6.2只支持Python2.4和2.5版本,但是Plone并不能在这种老版本上跑。

原因二——哈希值、盐值不一致

CyberZeist所泄露的数据的密码哈希值、盐值与Plone将生成的值不一致。这表明这些泄露的数据是在另一台服务器上批量生成的。值得一提的是,CyberZeist泄露的这些FBI邮箱在几年前就曾公之于众。(嘿嘿,就算FBI真的被黑了,也不是Plone的锅)

原因三——文件名称不符

CyberZeist声称他在含有.bck扩展文件的网页服务器的中发现了备份文件里的登录信息。但是,Plone数据库备份系统不会生成含有.bck扩展名的文件,而且Plone生成的备份存储在web服务器目录之外。

Wilkes说:

“修改这种行为方式很难,而且对于他来说没有任何好处。”

原因四-截图有破绽

CyberZeist在推特上上传的某些截图迫使FBI.gov暴露部分源代码。然而此类攻击通常是针对PHP应用程序的,对于没使用cgi-bin扩展类型的Python网站是不可能成功。

有一张截图显示的是邮件信息,这些信息很有可能是从FBI服务器的邮箱日志里提取的。

“这很有可能是他自己的服务器日志,他虽然把这个服务器日志名称改得和FBI一样,但是却忘记把邮件显示的时区从印度标准时间到东部标准时间”

原因五-CyberZeist有“造假”前科

没错,CyberZeist在这之前曾有“造假”记录。而伪造这次攻击的目的,可能是为了捞钱。FBI.gov作为一个使用Plone的知名网站,成功侵入它对于其他黑客来说具有很大的吸引力,很多黑客自然会到Tor网络上去买这个实际上不存在的0-day漏洞。要知道这个0-day的售价是8比特币,约9000美金。

在CyberZeist的“谣言”传出之前,Plone已经宣布了将在1月17日之前发布新的安全补丁,新的补丁与此次的0-day无关,旨在修复次要,低危的安全问题。


作者:佚名

来源:51CTO

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_769128.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

evasive 模块保护您的网站免受应用层 DOS 攻击

2019独角兽企业重金招聘Python工程师标准>>> 有多种可以导致网站下线的攻击方法,比较复杂的方法要涉及数据库和编程方面的技术知识。一个更简单的方法被称为“拒绝服务Denial Of Service”(DOS)攻击。这个攻击方法的名字来源于它的…

一步一步SharePoint 2007之八:允许所有域用户访问网站

特别提醒的是,这里不是逐个逐个地允许域用户访问,而是一次性允许所有域用户都可以访问网站。  这里说的一次性允许所有域用户都可以访问,实际上就是允许域用户组可以访问网站。这样做的好处嘛,哈哈,我只要加一次用户…

javaweb高并发量网站解决方案

为什么80%的码农都做不了架构师?>>> 一个小型的网站,可以使用最简单的html静态页面就实现了,配合一些图片达到美化效果,所有的页面均存放在一个目录下,这样的网站对系统架构、性能的要求都很简单。随着互联…

Web网站服务

“Apache”服务器是针对之前出现的若干个Web服务器程序进行整合,完善后形成的软件,其主要的特点:开放源代码、跨平台应用、支持各种Web编程语音、模块化设计、良好的安全性。 安装http服务器1、卸载原来已经存在的httpd2、插入光盘&#xff1…

基于Tomcat构建LNMT架构的网站并实现Session保持

简介 LNMTLinuxNginxMySQLTomcat; Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器; 在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选; 架构需求 Tomca…

网站安全服务应该如何安全储存用户数据

这几天AcFun数据库泄露的消息一大早就沸沸扬扬地传开了,所幸从AcFun的公告里可以看出泄露的用户密码均经过「加密」(实际上指哈希),所以我们仍然是安全的。 网站安全代码 从泄露出的部分信息可以看到,在存储密码这件事…

python:scrapy 一个网站爬虫库

Scrapy是一个用于抓取网站和提取结构化数据的应用框架,可用于广泛的有用应用,如数据挖掘、信息处理或历史档案。也可以使用api提取数据,或者作为一个通用的web爬虫。 安装 C:\Users\lifeng01>pip install scrapy Collecting scrapyDownl…

百度熊掌号SEO指南1.0,seo重点摘录

百度熊掌号seo指南6月6号发布,一直没有时间去研读,今天粗略的看了一下,内容包含对seo的要求,对网站的要求,对运营的支持,和对熊掌号功能的介绍。由于自己比较注重seo方面,所以今天就先摘了了&am…

mflac格式_免费的在线音视频格式转换网站汇总

1、.mov转换为.mp4.mov是QuickTime影片格式,是Apple公司开发的一种音频、视频文件格式。我们只需要iMovie打开相关文件,然后重新导出即可,iMovie默认导出的视频格式就是.mp42、.mp4转换为.gifconvertio:https://convertio.co/zh/m…

大型网站系统与Java中间件实践 02 Java中间件

01 认识分布式02 Java中间件03 分布式框架 3 构建Java中间件 3.1 什么事中间件? 中间件不是最上层的应用也不是最底层的支撑系统,中间件在项目中起到桥梁作用,特定中间件是解决特定的场景问题的组件。让开发聚焦于自己的业务。 常用中间件的分…

使用hexo做博客网站

2019独角兽企业重金招聘Python工程师标准>>> hexo有什么用? hexo 可以把md文件生成html静态网页。 hexo官网:https://hexo.io/zh-cn/ 本地安装hexo。 npm install -g hexo-cli #生成blog(名字任意)文件夹,并…

网市场云建站 v4.8 增加私有模版库,开放 Mysql 配置、在线客服源码

网市场云建站系统,结合各种产品,将一个网站的服务器成本降低到0.1元!打破传统建站的高成本,让价格不再是阻碍的门槛,让每个人都能有自己的网站! 延续了帝国CMS、织梦CMS优秀的模板流程,模板页面…

python大佬常去网站

常用网站: 1.StackOverflow (https://stackoverflow.com/) 2.github (https://github.com/) 3.Awesome Python (https://github.com/) 4.python中文学习大本营 (http://www.pythondo…

前嗅ForeSpider教程:网站登录配置

当我们在采集中碰到:所采集的网站数据需要登录,才可以看到所需信息时,则需要在软件中模拟登陆环境,采集数据,此时需要配置登录信息。今天小编就教大家:如何进行网站登录配置,具体步骤如下&#…

HBaseOnOSS冷数据存储

本期直播Topic:HBaseOnOSS冷数据存储 讲师:陆豪——阿里多模型数据库专家 视频回看地址:https://yq.aliyun.com/live/709/ PPT下载地址:https://yq.aliyun.com/download/3137 往期直播资料: 第四期:hbase 备份恢复资料…

阿里云ECS建站超详细全套完整图文教程

第一步:如何以最低价格快速买到阿里云服务器? 1.1 如果我是学生,我如何通过¥9.9买到价值¥117的服务? 答:用¥9.9购买云服务器ECS是阿里云学生专属活动。首先,你需要在阿里…

网站502与504错误分析

为什么80%的码农都做不了架构师?>>> 一. 戏说 不管你是做运维还是做开发,哪怕你是游客,时不时会遇到502 Bad Gateway或504 Gateway Time-out。出现这页面,把服务重启下,再实在不行重启下服务器&#xff0c…

360WiFi的服务器网站,360随身无线wifi怎么搭建web认证网页

如果只有360随身无线wifi,那你知道怎么使用360无线wifi来免费搭建web认证网页吗?下面是学习啦小编给大家整理的一些有关360随身无线wifi搭建web认证网页的方法,希望对大家有帮助!360随身无线wifi搭建web认证网页的方法首先,打开360随身wifi官…

python抓取网站图片_python爬虫基础教程:手把手教你网页图片的抓取方法

原标题:python爬虫基础教程:手把手教你网页图片的抓取方法 今天小编给大家分享基于python写的一个爬虫程序,能实现简单的网页图片下载,具体实例代码大家参考下本文 学习python、python爬虫过程中有不懂的可以加入我的python零基础…

json格式生成器_VuePress - Vue驱动的静态网站生成器

还在烦恼怎么做一个简单又美观的文档或博客网站吗?VuePress,让你十分钟就能搭建一个静态网站!Vue.js简介VuePress,是 vuejs 在 Github 上开源的静态网站生成器,项目仓库位于 https://github.com/vuejs/vuepress&#x…