蛮族入侵!——追踪反华黑客Barbaros
摘要:近期,国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”,该组织从2012年7月12日至今,不断对中国政府网站进行攻击,目前已经有接近4000个中国政府网站被其入侵,并留下了黑页示威。
【世界计算机-讯】近期,国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”,该组织从2012年7月12日至今,不断对中国政府网站进行攻击,目前已经有接近4000个中国政府网站被其入侵,并留下了黑页示威。
据说拉丁文Barbaros是英文barbarian(野蛮人)的词源。而这个“Barbaros-DZ”的所作所为,也确实野蛮粗暴。
以下是“Barbaros-DZ”在zone-h.org提交被攻击的中国政府网站记录:
在百度和谷歌里搜索“Barbaros-DZ was here”,目前仍旧有大量的网站未被修复,黑页仍然可以访问。
根据搜索结果分析,目前遭遇Barbaros-DZ攻击的网站处于以下三种情况之一:
1、首页直接被篡改;
2、部分网站并没有真正意义上的被篡改,Barbaros-DZ仅仅是利用网站本身的漏洞得到了后台权限,利用后台的功能在网站中添加了一些挑衅的记录;
3、个别网站甚至连管理员权限都没有拿到,Barbaros-DZ仅是注册了一个帐号,在帐号公开信息部分中加入了挑衅中国政府的语句,如图:
从这三种攻击手法可知,Barbaros-DZ针对性很强,甚至到了滥竽充数的地步,其手段也仅仅停留在挂黑页阶段。
关于Barbaros-DZ攻击中国网站,在国外新闻网也有相应的报道《Four Chinese Government Websites Hacked by Barbaros-DZ》(http://http://www.zjjv.com///news/Four-Chinese-Government-Websites-Hacked-by-Barbaros-DZ-331399.shtml)
而以下的这篇报道中,则揭露了Barbaros-DZ攻击中国政府网站的原因:
“Im attacking Chinese sites because they are corrupt. Look at them, they think that money is important in the world. That’s wrong. They dont understand what freedom and love is [important]”
“The Chinese country is a rich country, with much people, but much people only want much money”
同样,攻击者也公布了攻击手法:
“I use the LFI/RFI method to injecting, and then I upload my shell to deface the site”(我用了本地文件包含和远程文件包含漏洞,上传了我的webshell。)
加速乐安全团队根据黑页中的信息,对这起大规模攻击做了一次跟踪。在被黑的页面中,漂浮着一张阿尔及利亚国的国旗,从而也说明了攻击者所在国家。另外,黑页下方还列出了参与攻击的ID:
“Greetz: Bb0yH4cK3r_Dz | BOB_Dz | Dz Mafia | HTC 28 DZ | Kader11000Ked Ans | Smail002 | TiGER-M@TE | The-DarKKn!ght | x00t | yasMouh”。
在页面底部还留有一个Email:barbaros@live.ru。最后写了一句“To be continued...”嚣张地告诉我们,攻击还会持续。
起初我们认为“Barbaros-DZ”是一个团队(事实上很多报道中,Barbaros-DZ也被报道成黑客团队),于是在列举的ID中,挑选了第一个ID——“Bb0yH4cK3r_Dz”做了调查。而后来却发现“Barbaros-DZ”不是一个组织名,而是一个人的ID。
首先找到的是Bb0yH4cK3r_Dz的Twitter帐号(https://twitter.com/Bb0yH4cK3r_Dz):
他发的推文中,粗鲁地说了一句“SLamAlykomi Am !-Bb0yH4cK3r_Dz-! , Am Algerian Muslim Hacker and i Want To Join Ur Group :D Fuck France”,表明了他对法国的厌恶。
并且他写过一些攻击脚本,这些脚本中留下了他的电子邮件。
利用这些信息,又找到他经常活跃在http://www.zjjv.com/这个黑客论坛上:
而后又发现他攻击的一个网站(http://http://www.zjjv.com//.br/)并篡改了主页。
这个黑页中,说明了这是一次有组织的攻击,来自于http://www.zjjv.com/的黑客组织所为。随后找到了该组织的主页:
经过对页面的翻译,确定该组织是一个信仰伊斯兰教的黑客组织,并且加入该组织的条件是要信仰伊斯兰教,而Bb0yH4cK3r_Dz正好是这里的成员,所以他可能是伊斯兰教教徒。
这个组织同时还有电话,以及服务,说明可能是一个营利性团队。
之后,又在另外一个黑客组织“h4x0rteam”(http://h4x0rteam.go.ro/)找到了他,说明此人同时身处多个黑客组织。
这个组织的网页列出了所有成员名单。在这个列表中,除了找到Bb0yH4cK3r_Dz,更值得注意的是他旁边的ID——Barbaros-DZ!这说明“Barbaros-DZ”很可能不是一个组织名,而是一个人的ID。
仔细看Bb0yH4cK3r_Dz和Barbaros-DZ这两个ID,他们共同点都以“_Dz”结尾,于是去掉这个后缀进行搜索,找到一个被黑的政府网站:http://http://www.zjjv.com///admin/Review.asp?work=type&id=198。这个黑页的标题是“Hacked by BarbarOS”,而这个黑页是个人所为,再次说明了这个“Barbaros-DZ!”并非组织名,而是一个人的ID。接下来又在Wordpress里找到他注册的博客——http://http://www.zjjv.com///。顺着这些线索,又找到他另外一个博客:http://http://www.zjjv.com///pages/0RG4N4-H4CK3R-P3K4NB4RU/423553157681621
根据他的Facebook介绍,此人还创办了一个黑客网站:http://http://www.zjjv.com///barbaros-hacker/113735),此疑是他的照片:
用这张照片和那个Facebook帐号的头像做对比,看上去还真有点相像:
根据这些信息,证明Barbaros就是那个不断用黑客行为挑衅中国的人。截至目前,zone-h.org上已有3700个左右被黑的中国网站被他提交,而实际上还有很多没有提交到zone-h.org上,并且攻击仍在继续中。
关键词:
评论 文章“蛮族入侵!——追踪反华黑客Barbaros-dz ”
1、凡本网注明“世界经理人”或者“世界计算机”的作品,未经本网授权不得转载,经本网授权的媒体、网站,在使用时须注明稿件来源:“世界经理人”或者“世界计算机”,违反者本网将依法追究责任。
2、凡注明“来源:xxx(非本站)”作品,不代表本网观点,文章版权属于原始出处单位及原作者所有,本网不承担此稿侵权责任。
3、欢迎各类型媒体积极与本站联络,互相签订转载协议。
4、如著作人对本网刊载内容、版权有异议,请于知道该作品发表之日起30日内联系本网,否则视为自动放弃相关权利。
5、联系我们:contact@icxo.com;投稿邮箱:article@icxo.com,欢迎赐稿。