事件:中国红客联盟网站“被黑”
时间:2012年5月31日晚

1.事件背景
2.应急响应与分析
3.事件启事与总结

1.在“六·一”儿童节前夜,我们的站点遭到了攻击,几名未知性别的黑客涂鸦了我们的首页,事情发生后很多朋友对我们被攻击的事情表示很关心,各种猜测都有,感谢攻击者在儿童节前夕给我们的礼物。

2.事件发生后的5分钟后,我们登录到服务器,一开始我们怀疑是dz程序出了0day,但是转念一向,攻击者只是涂鸦了首页的静态页面,并没有对forum.php页面造成影响,外加数据依然存在,根据网站目录来看,首页文件的修改日期没有变动,所以我们认为不是**到了服务器。
打开防火墙查了下日志,发现防火墙拦截了不少ARP欺骗包,大概持续了5分钟左右,看来这次攻击事件属于劫持。通过http访问日志我们发现,有来自南京和韩国的ip在这个时间段访问过我们首页,根据攻击者的心里,劫持工具一旦打开,攻击者就会第一个查看目标是否被拿下,但是由于访问者较多,我们也不能绝对的锁定是哪个ip。

3.经过15分钟的调查取证,我们将此次攻击事件定义为“劫持”。感谢攻击者对我们的关注,也让我们发现了C段服务器的安全做的不是很好,红盟有了你们才可以继续进步!
此次攻击事件并未对红盟站点数据造成任何损害。