已修复漏洞仍导致6万网站被黑;美女黑客被无故扣污名 | 宅客周刊
有些漏洞,明明已经修复了,却依然能造成不小的影响;有的漏洞,明明能造成不小影响,却有人迟迟不去修复。 Wordpress内容注入漏洞致超67000个网站遭黑产利用前不久,小编()报道过博客管理系统 WordPress 在4.7.1 版本存在一个严重漏洞,导致攻击者可以在没有密码登录的情况下强行修改网站的文章内容。在该篇报道之前,WordPress 团队已经发布了4.7.2版本,修复了该漏洞。小编当时也提醒:有相当一部分网站没有开启自动更新,考虑到 WordPress 的使用者甚多,受影响的网站数量依然不容小觑。 果不其然,安全公司 Sucuri 披露:”自上周一该漏洞细节公开后,攻击范围不断扩大,最近每天趋于3000次。超过67,000的网站内容已经被篡改。” 攻击状况呈现这样的趋势: 攻击者精心构造一个向目标站点REST API发起的HTTP请求,可以修改文章的标题和内容。也就是说可以在你的网站上挂上他们的文字和图片,比如赌博网站的广告,以及一些羞羞的内容。 据小编了解,在发动攻击的团伙中有一个叫“w4l3XzY3”的,因此你通过Google搜索"by w4l3XzY3",就可以浏览一些被他们攻击过的站点。 这是一个漏洞虽已被修复,但仍造成大规模影响的例子。相反的是,最近微软被爆出来一个“人人都可以把电脑玩儿蓝屏”的漏洞,漏洞爆出来好几个月,微软却依然不紧不慢,非要按部就班等到2月14号才发布补丁。 人人都可以把 Windows 玩蓝屏的漏洞,微软却不急着修复早在 2016 年 9 月 25 日,安全专家 Laurent Gaffie 就发现了一个 Windows Server 的严重安全漏洞,但是在其向微软发出警告以后,微软却迟迟没有任何动作。这可把 Laurent 惹怒了,于是他在网上大肆公布该漏洞的细节,并发出抗议表示:微软你看不起本黑客提交的漏洞? 然而微软真的很淡定地表示:“在我们的安全政策中,对于低风险的问题修复,将安排在下周二(即2月14日)。” 言外之意就是该漏洞确实很“低风险”不足为惧。 然而据外媒报道,攻击者可以利用该漏洞远程将受害者的 Win10 电脑置于蓝屏,小编也实测成功(演示视频见于小编报道:《人人都可以把 Windows 玩蓝屏的漏洞,微软为什么不急着修复?》)。 那么为什么微软不发布紧急更新,而要等到2月14号再发布呢?小编与 2016 年微软 MSRC Top 100 榜单上贡献度排行第 8 的百度安全实验室的资深安全工程师黄正取得了联系,他表示: 如果是微软的远程代码执行的 0day 漏洞被公开,微软应该会出紧急补丁,微软甚至会为 Adobe Flash 的 0day 漏洞推送紧急补丁,CVE-2017-0016 这个漏洞的攻击效果是远程蓝屏,我想微软评估危害没有那么大,所以不推紧急补丁,这个漏洞对普通网民影响是很小的,因为445、139端口默认是被防火墙保护起来的。 也就是说,微软认为该漏洞只是造成蓝屏,因此影响不太大,要等到定期发布更新时间在一并推出补丁。 上周除了 Windows ,苹果电脑的macOS 也出现了不大不小“幺蛾子”,值得读者们警惕。 新款 macOS 恶意软件耍起了 Windows 平台的“老伎俩” 外媒称,研究人员发现了两款新型 macOS 病毒,其利用了 Word 文档的“宏”(macro)功能来隐藏和执行恶意代码,一个不留神,它们就会在你的笔记本上扎根和窃取数据。这些都是曾经在 Windows 平台上耍过的“老伎俩”。 攻击者会引诱粗心的用户打开已被感染的 Word 文档,恶意软件会在加载恶意宏文件后被立即执行。 万幸的是,识别这些受感染文件并不困难,因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求,但只要在这一步刹住车,就可以阻止恶意软件的传播。 但是万一,你还是“手滑”点击了“运行”,那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染(下载额外的恶意软件)。 相较于这个老伎俩,另一款恶意软件“更加先进”。它并没有利用 Word 文档作为载体,而是伪装成一款合法的应用程序。 该病毒会提示用户下载并安装一个虚假的软件更新,然后开始窃取用户的 Keychain,通过钓鱼手段骗得用户名和密码(以及其它凭证),最终将数据传回给攻击者。 对于 macOS 用户来说,避免此类攻击的最佳方式,就是慎从第三方或不被信任的网站下载软件,而是直接前往苹果 App Store、或者应用程序制作者的官方网站。否则你就要有一双能识破黑客伎俩的慧眼,毕竟“艺高人胆大”嘛。 最近国内一位女黑客火了,倒不是因为技术有多高,而是因为一年不洗澡,还倒卖银行卡被抓,我想这可能是女黑客形象被黑得最惨的一次,而且中间还出现了一个插曲。 女“黑客”一年不洗澡,真正的女黑客被张冠李戴扣污名据南方网报道,女黑客曾某仪年仅22,却像40多岁的妇女,她在网上结识了一帮盗刷银行卡的人,于是她开始窝在房间里,每天疯狂地加QQ群,到处搜索银行卡信息,再把这些信息卖给专门盗刷银行卡的人。 落网当天,办案民警发现她的房间简直就是一个垃圾场,床上堆着脏兮兮衣服;地上是快餐盒、易拉罐。而她的电脑里发现了包含有“四大件”的银行卡信息50多万条。 女黑客本人将近1米7的个子,头发一把一把地粘在一起,凌乱地披散着。民警伸手拉她,一拉就是一手死皮。其家人说,她已一年没出门,一年没洗澡,她也不许家人进她的房间,平时吃饭由家人将饭送到房间门口。据报道,生活上一塌糊涂的曾某仪,在网上几乎无所不能,从技校毕业后网上自学成为一个黑客,除了卖银行卡信息,还做走私车买卖中介。 就这样“女黑客一年不洗澡”的新闻刷爆网络,然而戏剧性的一幕出现了:网站在报道该新闻时配发了知名网络安全公司启明星辰ADLab负责人孙薇的图片,导致这位真正的美女黑客被扣污名,一时间黑客全炸开了锅。一位多奇趣的美女,一位会照顾人的姐姐,一位搞管理的黑客,一位懂技术的总监。一夜之间却和“一年不洗澡不出门,疯狂窃取别人信息的女‘黑’客”的人牵扯到一起,这让了解她的圈内朋友都感觉无法接受和愤慨。 (编辑:ASP站长网) |