最近这几天有为数不少的网友注意到,当访问好些个中文网站时,网页上很快会出现一个javascript 警告(如题图)。安全专家发现了这是中国防火长城污染了网民的正常访问,把一些正常访问改变到访问github,以形成对它 的DDOS攻击。Github 是最受全世界程序员喜爱的开源程序网站之一。最开始被污染的是百度的广告系统 (中国网站很大部分都放有百度的广告,所以对这些网站的访问都被无辜劫持) ,现在污染的是新浪博客。本来防火墙的污染是在后台,让网民无法知情,在浏览正常网页的同时就成了攻击github的帮凶。github不堪其苦,就返回一个警告窗口,让网民根本无法继续访问下去,只好关闭窗口离开。在这个防火长城与github的大战中,网民和无辜网站都受害了。中国防火墙在出国管道上做这个污染,所有在国外访问国内网站的行为都被影响,所以受害的就是众多的海外华人。
后来网上纷纷开始有报道出笼:其中这篇(https://pao-pao.net/article/404)写道,中国翻墙者被劫持为黑客 Github遭史上最大攻击。它指出:“ IT技术人员的圣地Github正在受到该论坛史上最大的网络攻击,Github日前在其博客上公开说。各方分析显示,此次攻击来自中国,且攻击技术高超:基本上,中国的翻墙者正在无意识中被劫持加入网络攻击,成为肉鸡。Github在博客中表示,此次攻击是“为了迫使其删除一些内容”。据分析认为,此次攻击具体是针对网络自由组织 GreatFire 等在Github上提供的免翻墙信息服务,但影响到了整个Github。3月30日,在中国外交部的例行记者会上,当记者问到最近的网络攻击是否来自中国时,外交部发言人华春莹并未“否认”,也未对此作出正面回答,强调“中国是黑客攻击最主要的受害者之一。“近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方黑客所为,这很奇怪。我想提醒你,中国是网络黑客攻击的最主要的受害者之一。我们一直强调,中方希望同国际社会一道,加快制订国际规范,共同维护好网络空间的和平、安全、开放与合作。希望各方都能以积极、建设性态度合作应对网络黑客攻击问题。”
另外一篇文章以醒目标题突出分析事件【翻墙上百度,网民变黑客】,并试图帮助网民如果陷入网络攻击。不妨转载如下:
据推特消息, 北京时间3月27日12时左右开始,从境外访问v.baidu.com的时候被发现会出现Javascript alert出现的弹窗:WARNING: malicious javascript detected on this domain 。追查发现是百度广告管家的js http://cbjs.baidu.com/js/m.js?_=1427431567741在境外访问时被替换成一段特殊的js。
分析认为,大致的流程就是: 1. GFW把某些常见网站的JS替换成以上js。2. 全球各地访问国内网站时,相当于成为DDoS的源(可能还有全国各地访问国外时,未经确认)3. GitHub不堪重负,把 https://github.com/greatfire/ 和https://github.com/cn-nytimes/ 的返回改成一个alert: WARNING: malicious javascript detected on this domain (网站存在恶意JS代码调用)。当境外用户访问内置境内一些网站如百度的JS调用的网站时,中国的国家防火墙GFW将这部分调用替换成重定向至目标网站, 以调用民用流量的方式,实现对目标网站的DDOS攻击。GreatFire在3月中曾遭到来自中国的DDoS攻击。针对此次攻击,Greatfire正在进行调查。
技术人士@yegle 认为,用js来实现攻击远胜过早年利用DNS污染的DDOS攻击,只损失了百度的revenue,但能实现单页面反复攻击多个目标。为什么要劫持百度来攻击GITHUB呢? Larry Salibra 认为:1. 这方式的优点是可以无需劫持大量电脑,也可以让网站访客在不自觉的情况下成了攻击行动的帮凶; 2. 让人产生攻击是来自中国境外的错觉 3. 希望透过服务供应商向外国媒体施压,删除中共官方不喜欢的内容。 其实不一定需要访问百度,中国国内一些论坛等网站都被植入了百度联盟广告,GFW给他们的 JS 插入了攻击代码,用户读取之后就去攻击 GitHub 了。国内用户访问百度不经过GFW,只有翻墙者会被变成攻击者。另有推特网友分析指,“一个真正的海外用户,首选搜索引擎应该是谷歌而不是百度。那么,来自海外IP对百度的访问,多数应该是通过代理翻墙的境内用户。这样GFW就可以收集很多用户的代理IP,并且通过搜索行为等判断是否翻墙。估计又会有很多VPN和翻墙软件会失效”。
翻墙者@bitinn 表示: 利用平民上网的正常流量进行DDoS已经成为中国全新的网攻武器。新的被害者是:GitHub。换而言之,我们已经从Defensive(防卫)变为Offensive(攻击)了。百度攻防安全实验室官方微博28日上午否 认此次攻击与自身安全性有关,称:“百度安全工程师经过仔细排查,已经排除自身产品的安全问题和黑客攻击的可能。我们也已经向其他网络安全机构通报情况, 共同对相关问题进行进一步诊断”。如若属实,当可确认攻击来自GFW。 有分析认为,无论攻击脸书还是GitHub,终极目标都是逼迫对方自我审查。脸书在去年六月二十日遭受GFW发起的核弹流量攻击之 后,扎克伯格桌上惊现“习近平著作”。迫使GitHub“下架”翻墙软件,是昨天攻击行为的最合理解释。与此同时,知乎上相关问题讨论的帖子已全部被删除。
有网友支招应对方法,屏蔽所有百度的JS代码:在Chrome的设置->显示高级设置->隐 私设置->内容设置->JavaScript->管理例外情况中,输入百度的网址(需要通配符,如图),再将行为设置为禁用即 可:Chrome://settings/contentExceptions#javascript。 另有技术高手提供了技术支持:多种系统的一键吊销中国证书工具。
全球网络攻击地图显示,目前的主要攻击均是从中国大陆发起,到美国(和加拿大)的TCP(SYN)连接。 到截稿为止,对Github的攻击仍在持续中。3月30日,Github在推特上表示,攻击的方法已经转变,该网站在全力对抗。
推特网友@hnjhj 表示,小组长上台以后尽管网络管制思路跟之前一致,但路子毕竟野了很多。从3月中旬以来,CNNIC颁发官方假证书进行中间人攻击、GFW劫持 全球网络流量发动DDoS攻击、强调网络主权等等的事,如果从积极方面看的话,那就是在当局看来,单纯的砌墙防御已经不够用了,翻墙途经越来越多,不主动出击就是等死。
有不少人曾传,中国的防火墙将会在今年4月完成升级。虽然目前该消息并未得到证实,细节也尚未 浮出水面,但3月以来这些变化显示,墙不再是单纯的保守封锁,已沦为攻击武器,还要利用翻墙者的积极性调用民间流量,让抗争者在不知不觉中充当枪手。但翻 墙者不是纯粹的无畏派,并非只有搭梯子一种技能,拒绝做肉鸡以及如何对越来越流氓的GFW发起反击是急需考虑的内容,虽然目前只能见招拆招。
(圣地亚哥华文网 华文风采专刊通讯员火星铁/Ben Lin报道 SanDiegoChinesePress.com)