支付宝控件漏洞和Donews被挂木马这些破事

我以前是网络管理员,曾在xfocus灌过水,从那里知道一些人是黑客产业链的从业者。我的技术不行,又只顾着玩娱乐圈,没黑过一个网站,进不了黑客圈,没能成功渗透到他们的团体中,了解不到他们的运作方式,我直到看到黑客产业链这张图才明白他们的运作方式。前几天我说了Donews的坏话,结果有人问我free.donews.com是干什么的,我说是一个谣言集散地,各大IT厂商发布小道消息的地方,淘宝的市场公关人员和腾讯市场公关人员经常在那里吵架,拼命顶对方的负面新闻。然后他就报料给我,说他入侵了free.donews.com大半年了,卖不了钱,看来没什么用。我让他公开算了,反正Virushuo这个Donews的技术支柱和keso这个Donews的精神支柱都已经前后离开Donews了,Donews败象已露,再顶一下,顺便落井下石,搞搞他们的负面新闻.

于是,我告诉他留个页面证明网站有漏洞就行,然后我帮他在BLOG里公开一下广而告之.我还告诉他,可以放点有知识性和娱乐性的内容,可以署名,可以顺便宣传一下什么是”独立媒体”,并且放一些TK教主最近就支付宝安全问题发表的日志的链接来恶心一下Donews和Alibaba的公关人员,这说不定是新闻事件啊,说不定还可以顺便帮我抢"度谷"这个关键字排名,他做了一个伪造网页传上去了,然后我截屏并复制了一个放到http://www.fangeming.com上吸引别人来看,Donews的老板该不会告我是入侵Donews网站的同谋吧?但愿他们能证明是我干的,好让我有机会去监狱里参观参观.

我可没料到,那个入侵者的胆子够大,敢留下”hacked by Melody”,估计这名字只是小范围的人知道,他自称多次接到110打来的电话浪费他的电话费,入侵后上传的页面在这里:http://free.donews.com/templates/default/redirect.php 看上去是通过模板方面的漏洞入侵的。欢迎大家来看黑客入侵留下的页面里的搞笑内容,如果时间久了,漏洞被补上,黑客上传的被删除,你可以移步到这里继续查看。

为了广告淘宝用户的利益着想,强烈推荐所有淘宝用户查看TK教主的文章:

支付宝控件漏洞–到底是谁在撒谎?
关于信息安全和安全漏洞的一些科普–从支付宝控件漏洞谈起

所有用户都应该重视浏览器安全问题,王小峰的BLOG就被入侵过,被别人放了网页木马,TK也在上面提到的文章中演示了网页木马的功能,当你用IE打开那些页面时,网页中的漏洞利用代码可以调用运行电脑里”计算器”,很可怕吧?似乎这个黑客也故意在Donews的网页代码中嵌入了网页木马代码(下图为证),他可没报料告诉我已经放了木马了,也许不是他干的,而是Donews的主机安全太差点被众多黑客轮奸了。如何避免网页病毒呢,TK在文章中说了,网页木马是针对Internet Explorer 浏览器的,改用firefox(点此下载Firefox)或者opera就好。

附: TK,TombKeeper,于旸(yu yáng),白帽子黑客,绿盟公司的资深安全研究人员,被人们戏称为”妇科圣手”或”TK教主”,技术和人品那是没得说,众多Fans愿意尊称为TK教主一方面是佩服,另一方面是尊敬。 对了,有人称他是”黑客中最好的博客,博客中最好的黑客”,他经常写一些手工制作或美食制作方面的文章,当然,还有科普文章,推荐订阅他的BLOG。

附图:
free.donews.com的首页也有网页木马,我不加这个站点的链接了,有图为证:

13 thoughts on “支付宝控件漏洞和Donews被挂木马这些破事”

  1. DonewsER,你们好,我知道你们会来看,会找我删除文章,你不要打电话让我删除文章,我会电话录音,也不要想着如何搞死Zola这SB,你们的网站被轮奸不关我的事,我只是搞搞你们的负面新闻,这是你们惯用的方法,就你们能恶搞别人,就不容我恶搞你么?
    你们的新闻已经散开了,我还截了图保存了页面,就是要搞你的负面新闻。
    我看到的反向链接:
    有办法搞死这个SB么?
    波波,论坛出大问题了,被人挂了好多监控程序
    落伍者转载
    cnlidc转载
    CNBETA转载报道
    nb5转载
    赢政天下论坛转载
    buyer-sky转载
    大话IT|以太论坛 转载
    新浪博客转载
    中华盾网络安全交流论坛转载
    http://www.jgzxlt.com/ 转载(注册登录才能找得到)
    http://www.zju88.cn 转载(注册登录才能找得到)
    http://azxna.azhong.cn/article/8231.htm 盗老子的页面

    路过的朋友请访问http://www.fangeming.com 查看详情.

  2. 标题: 有办法搞死这个SB么?
    后后:
    http://www.zuola.com/weblog/?p=706

    徐新事:
    # 2005年3月 信息产业部发布33号令要求个人网站备案,周曙光发表网络日志,表示异议,略有影响。
    # 2005年7月辞职后找不到工作,遂抛开一切实现旅行梦想,用最省钱的方式前往新疆旅行二十天,引起网友关注。
    # 2005年11月 应中文网志年会邀请,作为将特色Blogger之一到上海参加中文网志年会。
    # 2005年12月 33号令正式产生效果,周曙光的个人网站被ISP关闭,一个星期后,周曙光的个人网站重现江湖。
    # 2006年5月 正值百度Fans与谷歌Fans争论网络审查之际,周曙光发表文章引发互联网笑话,指出“百度贴吧没有鸡吧”,讽刺百度的网络审查规则,经洪波和罗永浩等网络知名人士转告后,引来近两万访问量。庸俗笑话背后的深刻讽刺极大的娱乐了广大网民,丰富了网民的网络精神生活,满足广大网民日益增长的精神需求。
    # 2006年8月 揭露外发加工骗局,两个月内,有近百人通过搜索引擎搜索到这篇文章,许多人在此文的帮助下识破骗局避免了损失。
    # 2006年10月 第一次使用“专题(1、2、3、4、5、6、7、8、9、10)”来写BLOG,试图炒作PostShow.Net盗用图片并篡改图片水印一案,引起Blogger的广泛关注,为推广“创作共用”理念、增强版权意识起到了良好的作用。

    徐新事: QUOTE:
    原帖由 徐新事 于 09:43 PM 发表
    2005年3月 信息产业部发布33号令要求个人网站备案,周曙光发表网络日志,表示异议,略�� …
    对付这种人的最好办法就是不搭理他,对他怎么着又为他添彩。

    大林:
    给他吃带毒猪肉,毒死丫的

    佳伦:
    挺会出镜的

    后后:
    感谢跳梁明星zuola这么关注donews阿….

  3. Pingback: » 做人这事儿

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据