[导读]近期曝出的漏洞存在于DISCUZ!软件中一个消息调用函数中执行参数未进行初始化设置，可以任意提交，从而可以任意执行函数命令。恶意攻击者会利用该漏洞控制某个使用DISCUZ!软件的WEB论坛服务器，对其消息调用函数中的参数进行恶意初始化设置，一旦计算机用户浏览点击该WEB论坛网页，在操作系统后台就会任意执行该特制的函数命令，可能最终导致系统无法正常运行，甚至崩溃。

    DISCUZ!即论坛软件系统，也称电子公告板（BBS）系统。它是一套通用的社区论坛软件系统，用户可以在不需要任何编程的基础上，通过简单的设置和安装，在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。

[事件还原]

    1月8日11:38分，部分站长发现，论坛首页出现“Hacked by ring04h, just for fun!”的提示。针对用户反馈，康盛创想官方立即组织技术人员对论坛程序进行安全排查，并未发现相关站点的程序漏洞。

11:54分，官方安全部门发现站点 http://customer.discuz.net 域名被劫持，指向一台攻击者控制的服务器(203.86.236.236)。Customer 站点是 Discuz! 用于发送论坛补丁和安全补丁通知的紧急接口。黑客首先利用 Discuz.net 域名服务商的漏洞，登陆并修改了 Customer 的域名地址，并事先写好了一段攻击代码存放在一台服务器上。当站长登陆进入论坛后台首页时，由于论坛通知服务器的域名被劫持到新服务器上，从而使得攻击代码运行，模仿站长的身份，提交并修改了论坛的 seo 设置。从而造成论坛无法正常访问。

官方立即修改被劫持域名。11:55分，被劫持域名的重新定向工作完成。

12:15分，官方论坛已经发放代码清除产品包（http://www.discuz.net/thread-1183991-1-1.html）。此次域名劫持事件未涉及官方 Discuz.net 论坛，仅有期间8分钟内登陆管理后台的部分站点受到影响站点，可参照官方论坛提供的方法修复。

（手工修改方法。Discuz!后台相关seo 设置当中被人插入<script>function init() { document.write('Hacked by ring04h, just for fun!');}window.onload = init;</script>，去掉以后即可。）

域名是互联网基础服务，本次安全问题系由域名劫持造成，Discuz! 各版本软件代码在安全上并无问题，故 Discuz! 官方除了发布恢复方法及恢复工具以外并没有新的补丁发布。

此次域名劫持所造成的安全问题，是一次严重的攻击行为，其行为已违反相关法律法规。根据全国人大常委会于2008年12月22日开始审议的《刑法》修正案(七)草案中相关条款，此类攻击行为属于被政府严厉打击的犯罪行为。Discuz! 官方已对案发全过程进行证据保全和公证，并保留追究攻击者法律责任的权力。

黑客曝攻击内幕

1月8日，中午时分网友acsanny发现自己常去的一个“养鱼的论坛”无法正常访问，于是困惑的她发帖询问大家“ring04h是什么意思啊，是网站被入侵了还是指个人的电脑呢”。就在昨天相同的时间段内，众多网友和站长发现使用Discuz!程序架设的论坛出现异常。网友aijing810对此描述道，“只要新开一个话题，就马上转到个白页，写道Hacked by ring04h,just for fun!”ring04h，对很多人来说是毫无意义的字符串，而却是另一些人顶礼膜拜的对象。

当网页上出现“Hacked by ring04h”字样时，不少有经验的站长意识到，自己的网站遭到了来自ring04h的攻击，起码从名义上看是这样。实际上，ring04h正是著名的“邪八”团队的核心成员。

“邪八”，全称邪恶八进制（EvilOctal）信息安全团队。如果我们更直白的称其为黑客团体，可能大家会更容易理解。邪恶八进制的志训中这样写道，“整合专业安全与古典黑客精神，努力为祖国的信息安全撑起一片蓝天”。

在邪恶八进制的论坛首页可以看到，ring04h还担任着某版的版主，但查看ID详情时得到的提示却是“指定的用户不存在或已被删除”。

下午我们辗转联系到邪恶八进制的创始人“冰血封情”，他对腾讯科技表示，ring04h的ID的确已经被删除了，并且“已经换了另一个ID”。显然以ring04h目前在黑客圈的知名度，完全可以给ID拥有者带来些不便。

PHPWind走运逃过一劫

ring04h上一次影响广泛的攻击，还得追溯到去年五月。当时Discuz!和 PHPWind的官网接连被黑，攻击者都留下“Hacked by ring04h & sunwear,just for fun!”的字样。此次事件，一度让国内软件双雄Discuz!和PHPWind相当尴尬。

截至1月9日凌晨，腾讯科技始终没有与ring04h取得联系，但却连线到去年五月曾与ring04h一起发起攻击的sunwear。

“目的？就是just for fun”，sunwear坦诚而直接的回答了发起攻击的原因。谈及8日对Discuz!的攻击，sunwear指出表面上看显然是ring04h所为，“不过如果涉及法律就要看证据了”。

据sunwear透露，昨日的攻击对象原本还包括PHPWind，但由于“PHPWind走运”，最终这次的攻击没有最终波及到PHPWind。sunwear没有进一步说明更为详细的原因，仅仅表示“总之phpwind是放过了”。

sunwear承认去年5月发起的那次攻击，并没有为自己招惹上什么法律纠纷。sunwear说“一般这个圈子的人做这些事，只要是非盈利、未给人带来损失就可以，一般很多人也不会追究”。

“还是不要打扰他了”，sunwear最终没有向腾讯科技提供ring04h的联系方式。不过sunwear告诉腾讯科技ring04h的确是个比较有神秘感的人，而更贴切的形容是“一个比较腼腆的人”。

中国黑客的隐秘生存

去年年底，瑞星副总裁毛一丁曾透露国内至少有十几个大规模地下黑客组织，通过损害用户的方式赚取高额利润。

“要说地下的可多了，不过都是乌合之众”，在sunwear看来这些都称不上是黑客组织，国内除了0x557、XFocus、wss、幻影旅团等之外都属不入流。sunwear说刚才提到的几个组织不会去赚黑心钱，“或者会，但我不知道”。

据熟悉内情的人士透露，邪八、0x557等黑客组织的成员都有自己的一份本职工作。例如0x557的成员中有些在启明星辰，有些在McAfee等机构工作，而邪八则有一些成员在天融信、绿盟或者国外等等公司工作。

邪八创始人“冰血封情”对腾讯科技坦言，“我们这个圈子的人都很警惕‘社会工程学攻击’”。冰血封情表示一旦媒体和黑客联系上，他们都会立刻开始确认对方的真实身份，“这是个行事很警惕的圈子”。

所谓社会工程学攻击，就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等等不公开资料，为黑客攻击和病毒感染创造有利条件。总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。

根据社会工程学的定义，无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。

坊间流传着一份《中国顶级黑客组织与人物完全档案》，冰血封情和sunwear等人的简介都赫然在列，不过sunwear却告诉腾讯科技，自己显然不算是中国最好的黑客。 

“挖掘机批量挖掘discuz漏洞后门拿webshell”等工具现身

类似“挖掘机批量挖掘discuz漏洞后门拿webshell”等入侵实例或免费教程现身各大网站或BBS，让事态可能进一步恶化。

明天你会被劫持嘛？

凡是使用DISCUZ!构建论坛软件系统的值得提高警惕，尽管DISCUZ!官方已经发布补丁，但仍存在被劫持的风险！截止目前，http://customer.discuz.net/域名仍处于被劫持状态！（大璞不完）

[相关链接]