根据研究人员,百度在中国很多网站上提供广告服务和为网站开发人员提供流量统计的工具被攻击者植入了恶意代码。这个恶意代码让访问这些网站的用户浏览器快速连接到其他网站,但是恶意代码使用了访问用户不能察觉的方式。这种恶意代码向运行在GitHub上的GreatFire组织提供的两个规避网络封锁工具发送了海量的网络流量。这次攻击目标的其中一个工具可以让中国网民有效地访问纽约时报中文版。
在这次攻击中,一些中国的网民无法访问GitHub网站。GitHub是全世界各地的程序员和美国政府使用的一个网站。
在2013年,GitHub曾经在中国被短暂的封锁,后来因为程序员们的强烈抗议又重新恢复访问。因为GitHub使用了加密算法来隐藏网站的某些部分,中国政府不能有选择性的只是封锁GitHub上的部分内容。但是封锁整个网站可能会损害中国的经济,因为该网站被高科技产业普遍使用。
战略与国际研究中心高级研究员James A. Lewis表示,尽管确定这类攻击后面的具体实体会很困难,但中国政府是很明显的罪魁祸首。他说:“从这种攻击中唯一能够受益的就是中国当局。”他说,使用这种大胆的战术来攻击它不喜欢的内容似乎是为了:或者是政府在发出一种信号,或者是在测试新功能。
Lewis说:“在最近几个月,我们看到了中国互联网政策的巨大变化,他们在封锁西方网站和阻止本国公民访问外国信息方面变得更加专横。今年早些时候,很多VPN服务在中国无法访问,VPN是中国公民用来规避网络审查的一种服务。
百度—即中国的谷歌—否认了参与此次事件。该公司在一份声明中告诉华盛顿邮报:”经过彻底的调查,百度的安全工程师已经排除了百度产品有安全问题或被黑客攻击的可能性。我们一直在与其他安全机构联系,将情况通报给他们,我们将共同努力找到问题的真相。“
GitHub在周四晚的一个推特发文中承认被”持续“攻击超过24小时。GitHub的页面最新更新中说,因为受到攻击,”一些用户间歇性的无法访问“该服务。
这次攻击实施的方法非常聪明。造成向GitHub发送海量访问请求的恶意代码只是来自中国以外的用户浏览器。安全专家说,这也指向了中国当局就是罪魁黑色。它自己的网络用户没有受到影响。因此,长城防火墙—这个让中国当局得以在境内过滤所有网络流量的工具—成为了一个非常明显的中国当局可能植入恶意代码的地点。
根据Insight Labs的研究人员的博客发文:”外国人成为了中国当局利用来对付他们不喜欢的,例如,自由言论,的武器。”
—
如何评价百度广告代码和统计代码被劫持攻击 GitHub 的事件?
恭喜各位见证了这一历史性时刻。
今天,超越时代8000年的伟大发明中国防火墙崭露头角,展示出了它被动防御之外的主动攻击策略,并将储备弹药从境内人口扩展到了世界华人。
从今天开始,伟大的中华人民共和国在核武器之外又多了一项战略性武器,全民 DDos。这是我党在网络主权问题上取得的里程碑式的成就,它标志着我国打破了西方势力国家对互联网的垄断把持,实现了对西方敌对势力的有力威慑。
从此以后,世界上的任何组织或个人在违逆我党之前,都要仔细衡量遭受此种战略性武器打击的可能性,我党统一世界的日子指日可待。
这就是我讨厌任何给PRC唱赞歌的观点的原因。
眼睁睁地看着一个世界级流氓的不断壮大已经够可悲的了,还要去『客观看待』,『理性分析』,太监也不用这么憋屈。
刁包子,请确认你在知乎的注册邮箱
这是互联网猪圈,哦不,主权!!
全球最大成人搜索网站正在攻击全球最大同性交友网站
据传当年百度用尽一切方法将Google挤出了中国,结果今天百度被“自己人”弄得吐血,也算是报应吧。
关于Github被DDoS的一些更新: 1. 攻击方式有所改变,转移到Github静态页面和资源上。 2. 百度CDN以及其他服务是否还被劫持有待调查,攻击角度并不唯一。 3. Github主站在中国几乎无法访问,但并非封了中国的IP。 4. 北美访问流畅。 4. 百度未作回应。
GitHub
Based on reports we’ve received, we believe the intent of this attack is to convince us to remove a specific class of content.
4:46 UTC The ongoing DDoS attack has adjusted tactics again. We are continuing to adapt and mitigate it.
某入侵检测系统的新招式
向所有从中国流出的http协议里插攻击其他网站的js。简单的说,就像向所有访问中国网站的国外用户每人塞一个炸弹变成人弹。
这创意就算isis也要自叹弗如了吧
根据Github状态信息报告,对GitHub的DDoS攻击在继续,攻击者已经多次调整了策略:最早是中间人劫持百度的分析和广告JS明文文件,然后在被GitHub用JS弹出警告信息引起广泛关注后停止了劫持,接着是转移到攻击静态页面和资源,致使GitHub网站访问缓慢;现在它再次开始调整,GitHub也在继续跟着适应和削弱攻击。对于百度分析和广告JS文件被替换为恶意攻击代码一事,百度安全在微博上声称与它无关,“经过仔细排查,已经排除自身产品的安全问题和黑客攻击的可能。我们也已经向其他网络安全机构通报情况,共同对相关问题进行进一步诊断。”攻击者替换的攻击GitHub的恶意JS代码也被人仔细分析了一番,被认为太业余。目前被攻击的两个项目之一的greatfire已经恢复到正常内容。
当 Google 被墙时你暗自开心,但你该想到会有这一天,就是当初赶走 Google 的“人”会把你变成狗去咬人。
百度安全工程师经过仔细排查,已经排除自身产品的安全问题和黑客攻击的可能。我们也已经向其他网络安全机构通报情况,共同对相关问题进行进一步诊断。
赶紧换HTTPS的,另外,你右下角明显是被中国移动劫持了嘛。
知道这事也不能出自官方之口,只能哑巴亏
cnnic,ddos, 墙终于学会了主动出击。替GFW卖命的帮凶黑github,真是连基本的专业素养都没有,恶心。
大家都在装傻,百度的工程师不愤怒吗,背了这么大一个黑锅。
攻击这两个 GitHub 项目的会是谁太明显了。
李彦宏连夜打电话给方校长“大哥,下次你发飙提前通个气啊,这次我都不知道怎么解释了。。。”
