V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qiaofanxing
V2EX  ›  信息安全

(转)国内最大 IT 社区 CSDN 被挂马, CDN 可能是罪魁祸首

  •  2
     
  •   qiaofanxing · 12 天前 · 6600 次点击
    链接; https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg

    又是供应链攻击….
    38 条回复    2024-12-14 15:56:39 +08:00
    country
        1
    country  
       12 天前   ❤️ 3
    more like 最大内容农场
    povsister
        2
    povsister  
       12 天前 via iPhone   ❤️ 12
    哈哈,抄码农博客,偷 GitHub 代码,挂钓鱼木马,csdn 这辈子有了。
    tabc2tgacd
        3
    tabc2tgacd  
       11 天前
    好 6 的感觉
    pvnk1u
        4
    pvnk1u  
       11 天前
    好似
    liuzimin
        5
    liuzimin  
       11 天前
    卧槽这木马竟然 VT 上 0 查杀????
    liuzimin
        6
    liuzimin  
       11 天前
    那么作为我们普通站,应该如何防范这种 CDN 挂马呢?
    yulgang
        8
    yulgang  
       11 天前
    天天说别人的代码不安全
    Dlin
        9
    Dlin  
       11 天前
    高啊,那个伪造 chrome 错误页面实在是高!
    qW7bo2FbzbC0
        10
    qW7bo2FbzbC0  
       11 天前
    csdn 感觉就是垃圾堆,虽然偶尔能找到一些有用的,但大多数都是垃圾内容和广告,甚至被挂马,我都会把它认为是 CSDN 的官方 FEATURE
    boywang004
        11
    boywang004  
       11 天前
    伪造 Chrome 错误页面这个操作 6 啊。
    lztxdy
        12
    lztxdy  
       11 天前
    salmon5
        13
    salmon5  
       11 天前
    "CDN 可能是罪魁祸首?"
    这个 title 起的有点误导了:误导 CDN 自己主观的问题; title 起的不够客观
    darrh00
        14
    darrh00  
       11 天前
    在国内的小厂,每天 PV 也有过亿的量,前段时间机器内网被人攻陷,服务器提供下载的 JS 被注入代码,还好还在试水阶段就被发现,整个环境搞了一个月才清理干净,心有余悸。
    NewYear
        15
    NewYear  
       11 天前   ❤️ 1
    供应链攻击的解法很简单。

    不。外。链。脚。本。
    如果外链就启用 hash 验证。
    NewYear
        16
    NewYear  
       11 天前
    补充:

    不使用 CDN 。

    然后及时给自己的服务器/程序打补丁就行了
    cnt2ex
        17
    cnt2ex  
       11 天前
    不得不说最近看到的钓鱼方式还真是挺有创造力的。
    之前有让 win+r 复制粘贴代码过验证的
    现在有伪造浏览器错误页面的
    lyxxxh2
        18
    lyxxxh2  
       11 天前
    文章关于 web 的,我看懵了。
    1. `analyzev.oss-cn-beijing.aliyuncs.com` 这个是 oss 自带的域名,跟 cdn 有什么关系?
    2. 更让我好奇的是,analyzev 这个 bucket,是谁的,为什么 csdn 要用他做静态资源库访问? 没钱建个 bucket + cdn?

    奇安客居然可以获取 oss 的访问记录,牛皮。
    hefish
        19
    hefish  
       11 天前
    csdn ,cnblog 不都慢慢转收费会员了嘛,不是会员都只给看个开头。
    ccsexyz
        20
    ccsexyz  
       11 天前
    这和 CDN 有啥关系
    salmon5
        21
    salmon5  
       11 天前
    "analyzev.oss-cn-beijing.aliyuncs.com",这不是 CDN ,这个可以理解成某一个公司的私有网站( bucket ),数据是在北京的一个机房 3 副本或者北京的 3 个机房的 3 副本。
    总之,和 CDN 技术没关系,标题起的有点业余,有故意误导人的嫌疑。
    abc1310054026
        22
    abc1310054026  
       11 天前
    ufan0
        23
    ufan0  
       11 天前
    https://www.v2ex.com/t/917983

    将近两年前我就反馈他们网站可能被黑了,“文章描述”多是各个民间攻防组织的留言。

    打他们客服电话,以及微博留言,均无反馈。
    luodichen
        24
    luodichen  
       11 天前
    @povsister 再补充一下明文保存密码并泄露数据
    yuhaofe
        25
    yuhaofe  
       11 天前
    @lyxxxh2 文章的意思是,有很多网站用了 CDN 的页面都被插入了 analyzev.oss-cn-beijing.aliyuncs.com 这个域名下的恶意脚本,有可能是 CDN 被黑,导致用了这个 CDN 的网站页面都被篡改了
    drymonfidelia
        26
    drymonfidelia  
       11 天前
    @liuzimin 新木马加个壳租个别人的签名基本都是 0 查杀
    yuzo555
        27
    yuzo555  
       11 天前
    @liuzimin @SunsetShimmer @salmon5 @NewYear @ccsexyz @yuhaofe

    我看了下他文章怀疑 CDN 的理由就是有这个脚本的网页都用了 CDN ,都是 CDN 的 IP ,
    这太业余了,脚本攻击目标肯定是龙头网站,比如截图里面的太平洋、公务员招聘网站,龙头网站为了访问速度肯定要使用 CDN 。

    我直接认定这个攻击和 CDN 没关系,更有可能是服务器程序,或者引入的第三方 JS 被挂马。
    截图中出现了好几个太平洋( PCAuto )相关的网站,给出的 IP 确实都是 CDN IP ,但分别有网宿、天翼云( ctcdn )、白山云三家 CDN 。
    不可能三家 CDN 的内鬼同时商量好,给同一个网站挂马吧。
    yuhaofe
        28
    yuhaofe  
       11 天前
    不过文章里怀疑 CDN 有点证据不够,看了几个被感染的网站,都是 jquery 、神策或者 swiper 这些 js 库的文件里被加入了请求恶意脚本的代码
    更像是某些网站外包开发人员的电脑感染了木马,然后被修改了他们框架里的 js 文件,或者他们的 js 库文件直接从网上随便找的,没注意里面被修改了

    yuhaofe
        29
    yuhaofe  
       11 天前
    @yuzo555 而且里面好些网站都是同一家开发的,怀疑 CDN 确实没太大道理
    raycheung
        30
    raycheung  
       11 天前
    @lztxdy #12 老哥这是使用了什么插件?球哥关键字
    liliang13
        31
    liliang13  
       11 天前   ❤️ 1
    @raycheung #30 uBlacklist
    angryfish
        32
    angryfish  
       11 天前
    这到底是哪个环节出了问题。个人认为有以下几个可能
    如过楼上所说,被挂马的 ip 是不同 cdn 厂商情况属实,那可能不会是 cdn 的问题。
    个人猜测更可能是这些网页都用了某个被投毒的 js 库。
    kuanat
        33
    kuanat  
       11 天前
    不负责任的猜测,可能是百度统计被投毒了,文章截图里的几个受影响站点,外链 js 的交集就是 hm.baidu.com 域名下的 hm.js 文件。
    ucaime
        34
    ucaime  
       11 天前
    @povsister 还有个冷知识,在早起大规模行业密码脱裤的时代,CSDN 是第一个,而且也是首个被直接证明存明文密码的
    zerotozero
        35
    zerotozero  
       11 天前
    这家挂马也是挂的劣等马,上面一堆从其他网站爬的文章,三流网站
    limerence1212
        36
    limerence1212  
       11 天前 via iPhone
    我突然想到了宝塔后台提示什么安全组件修复的 exe 事件。https://telegra.ph/%E8%BF%91%E6%9C%9F%E9%BB%91%E5%AE%A2%E9%92%88%E5%AF%B9%E5%AE%9D%E5%A1%94%E9%9D%A2%E6%9D%BF%E7%AE%A1%E7%90%86%E5%91%98%E8%BF%9B%E8%A1%8C%E7%9A%84%E9%92%93%E9%B1%BC%E8%A1%8C%E5%8A%A8-08-10
    不排除是服务端主动为之,或者被强令这么干,定向瞄准了一类人群来获取信息。官方遮遮掩掩多少也能说明点问题
    ydirel
        37
    ydirel  
       11 天前
    问题不大,很多年前就把 CSDN 加入搜索黑名单了,就算找不到解决方法,也不访问 CSDN
    frankilla
        38
    frankilla  
       10 天前
    csdn 恶心的要死,先不说其他的,就网页布局一言难尽。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1261 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:47 · PVG 01:47 · LAX 09:47 · JFK 12:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.