中国大陆互联网服务被集体爆库[新闻汇总]

新闻来源:
http://www.36kr.com/
http://www.cnbeta.com/
网易科技
腾讯科技
Wooyun
其它

新闻按时间倒序排列

汇总

12月21日:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露

12月22日:中国各大知名网站全面沦陷.涉及范围甚广,泄露信息涉及用户相关业务甚多…. 一场席卷全中国的密码安全问题爆发了….

12月23日:经过确认 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露

12月23日:网友爆料 天涯沦陷…7K7K包中包含天涯帐户密码!!!互联网安全何在???

12月24日:178沦陷 UUU9沦陷 事态蔓延…

12月24日:天涯全面沦陷 泄露多达900W帐户信息…

12月24日:网易土木在线也沦陷,数据量惊人…

12月25日:百度疑因帐号开放平台泄露帐户信息…

12月25日:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露…

12月25日:UUU9.COM被黑客两次拖库..

12月25日:事态升级天涯疑泄露4000W用户资料

12月25日:178第二次被拖库泄露数据110W条

12月25日:木蚂蚁被爆加密密文用户数据,约13W数据

12月25日:知名婚恋网站5261302条帐户信息证实…

12月26日:myspace泄露,迅雷又成功离线3个泄露包!

12月26日:ispeak泄露帐户信息 已验证!请官方通知会员修改密码!

12月26日:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次

12月26日:网络流传包17173.7z中17173.3为UUU9.COM帐户信息,泄露数据不详

12月26日:塞班智能手机网校验准确率高达70%!!或塞班智能手机网沦陷

12月27日:网易土木论坛通过碰撞分析密码,用户资料全部属实!共计135文件,4.31G 资料泄露时间疑为2011-07-09 15:09:11(已论坛发帖通知,厂商未回应.)

12月27日:178.com彻底沦陷,共计泄露超出1100W+ 数据!

12月27日:766验证泄露,泄露数据十余万!

12月27日:ys168验证泄露,泄露数据三十余万!

12月27日:凡客20W 当当10W 卓越20W 用户资料验证泄露

12月28日:太平洋电脑泄露200W用户资料包含用户帐户

12月28日:大学数据库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露数据不详,只能靠截图揣摩!

继续阅读

中国网络国际访问频故障,温水煮蛙测试断外网反应?

本文系转载,原文地址:http://is.gd/bcmqVK

中国互联网的一些用户近期出现国际出口访问故障。有业内人士分析,这是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应,最终达到推行网络“白名单”制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问。

近期,中国互联网出现大规模国际出口访问故障,从上周五开始, 中国联通和中国电信的企业用户和教育网用户发现无法访问任何国际网站,无法登陆MSN。路由跟踪显示问题出在骨干网路由。MSN中国负责人表示,并未接到用户大面积断网的报告,建议用户自查,认为可能与用户网络端口和电信网络有关。

网络技术专家龙威廉在其博客上表示,经他测试后发现, 深圳电信无法访问国外网站的原因,是有几个节点路由器存在问题,怀疑这些路由器屏蔽了国外网站。龙威廉星期四告诉本台记者:“现在这个情况可能是电信或者联通的一方通过技术手段,限制某个单独的ip地址访问国外的网站,这种情况企业用户就很容易超标,因为企业用户和学校用户比个人用户访问的ip多一些,一个ip会访问很多个国外的网站,就很容易超过一定的限制。服务器会设置一个计数器,如果超过了限制的话,超过这个计数器就会禁止访问国外的网站。”

据了解,家庭和个人用户尚未遇到类似问题, 出现故障的主要是网络公司和企业用户。不少网友推测是当局正测试逐步切断大部分人访问国际网站,利用这些“故障”逐步让用户适应以达到最后推行“白名单”(也就是未在名单上的企业不能被解析,造成一般用户无法访问)目的。本台记者就此致电工信部信息安全司查询:“最近国际出口访问故障。”

继续阅读

360密盘解密程序,可笑的十万年

本文系转帖,原帖地址:http://zi.mu/14gz

官方网站上吹嘘十万年才能破解,结果一看只是一个用FileDisk源代码修改出来的东西,异或一下就能保密10万年,无敌了。

ntfs格式第一个扇区有那么多0,xor的数据(16字节)直接就可以从固定偏移取到,然后就可以解密了。

附件为解密工具,控制台程序,命令行例子如下:
(假设密盘文件为test.360sv 解密后文件希望保存成test.img)
Dec360mipan.exe test.360sv test.img
解密生成的img文件可以直接使用winimage打开

BTW:
360密盘的360sv文件保存在磁盘的根目录下的隐藏目录了360mipan中

继续阅读

谷歌云计算服务GAE被屏蔽

本文系转载,原文地址:http://is.gd/iqBXu

  谷歌知名云计算服务Google App Engine的域名 .appspot.com 被关键字封锁,目前所有托管的项目程序均无法从中国访问,GAE是Google于2008年提供的知名的云计算服务,用户可以上传Python程序和Java程序,免费使用Google的存储空间、带宽或是CPU负载。

  由于GAE是免费服务,很多中国网友将其用于在线代理,博客托管等应用,这可能是导致其被屏蔽的一个原因。

你无法忽视的:HTTP Post Denial Of Service

本文系转载,原文地址:http://hi.baidu.com/aullik5/blog/item/c41ffefbd96a3bceb48f3132.html

前些天我就通过一则新闻关注到了这个即将在OWASP大会上由Wong Onn Chee 和 Tom Brennan演示的攻击。现在OWASP大会开完了,paper也出来了:

点击以访问 Layer_7_DDOS.pdf

作者曾表示这种攻击一早出现在中国,不知道是哪路神仙整出来的。

此攻击和slowloris有点类似,略有不同的是利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。

当初看完新闻,我就有几个猜想:
1. 不需要作者说的要有form,直接HTTP POST即可,比如 POST / HTTP/1.1,因为这是针对webserver的攻击
2. 也不需要作者说的那种找很多客户端,比如java applet反射攻击;直接找一台PC就能打出这种攻击效果
3. 利用的是apache 的 maxclients的限制

本来我是想着自己写个POC的,无奈太忙了,拖到今天,别人的POC都出来了~~以上3个猜想也就都得到了证实。

继续阅读

真理部泥嚎!

大约是在这个月的20号吧,我突然发现我的博客访问不能了。随后就确定是被认证了。

心情很糟糕,同时也很无力。

昨晚买了域名,然后连夜把它搞定。感谢amemiya(http://galge.info/)提供空间和技术支持。

我想我以后,或许会收敛一点……请原谅我的软弱……以上……

纵使人们不说
你也该记得
在暴风雪中我们失去了什么
纵使尸体已被掩埋
疼痛不再
可那伤口还留着
不能愈合

雪掩埋了大地
冰冻了长河
但暗涌从未停过
可是你还在问我为什么
那些人不拿起脚下的破冰锤
却选择祈祷
他们不知道
上帝已经转过身去

如果站出来是可耻的
那么请大声的宣告
这是什么样的罪行
罹难者已交出了头颅
那是唯一的证据

这里不是禁地
正义就在他们手里
像逃犯一样苟活
于是暴行一遍一遍上演
直到只剩下墓园

有些事不需要提醒
我们不是旁观的路人
而是参与者

——佚名

北韩批韩国封锁北韩推特和YouYube帐户

本文系转载,文章来源:美国之音

北韩抨击韩国封锁平壤的推特和YouTube帐户。北韩在这两个社交网站的帐户上充斥着反韩国的宣传。但是,平壤现在说韩国封锁它们体现了韩国领导人是反对改进两韩关系的“一群叛徒”。

北韩是在本月早些时候开通了推特和YouTube帐户。这两个帐户经常发布颂扬北韩领导人金正日和痛斥韩国政府和美国军演的信息和视频。

韩国两周前封锁了北韩的推特帐户,并在一周前封锁了其YouTube频道。

北韩是世界上最秘密的国家之一。除了少数上层人物之外,北韩长期来对国内2400万公民封锁因特网。

曝光人人网出售用户资料

本文系转载,原文地址:http://www.xjp.cc/2010-log/09/renren-selling-user-information.html

我在写这篇文章之前,就知道这篇文章不会被任何一家国内主流媒体转载,强大的媒体公关已经变成互联网企业作恶的保护伞。

一阁(@yegle)的Gmail收到了一封来自团购网站的宣传邮件,在这个团购网站泛滥的年代它们总是抓住各种方法来强奸用户的眼睛,有的不仅默认发送这些信息而且没有取消订阅的功能,这都不稀奇。

但是这家团购网站似乎他没有什么印象,好像从来没有注册过,那么他们又是从哪里获取到自己资料的呢?这时候他注意到网站使用的会员ID是“请使用真实姓名”,这让他想起自己的人人网ID被封禁,之后被管理员修改名字为“请使用真实姓名”,真实的答案呼之欲出了。
继续阅读

图文教程:PC和PPC之间组建点对点WiFi局域网实现网络和文件共享

看海的狐狸原创教程,转载请注明原文地址:http://galge.info/ccfox/?p=1136

哎呀,其实和PC2PC的WiFi点对点网络一样的嘛……不过还是有人表示鸭梨很大。还是写一个教程吧……我,我才不是故意写的教程……哦……不小心就写了一个……哼哒!

适用环境:

PC,WiFi 模块必选,Windows WiFi 管理程序必选(第三方WiFi管理程序可能会造成兼容性问题),Windows XP 及以上操作系统

PPC,WiFi 模块必选,Windows Mobile 2000 及以上操作系统,Resco Explorer 8 及以上版本

教程环境:

PC:腾达W311U USB WiFi 模块,Windows XP 专业版 SP3

PPC:东芝TG01,Windows Mobile 6.5 专业版,Windows CE 5.2.21840 内核

教程目标:

在尽量减少使用第三方软件的情况下,实现PC和PPC之间组建点对点WiFi局域网、PPC可以浏览PC中共享文件夹、PC可以共享其它网卡的网络(如ADSL等有线网络)给PPC。

继续阅读

“维基解密”创始人朱利安·亚桑杰——“黑客罗宾汉”,民主的英雄

本文系转载,文章来源:南都周刊;标题非原文标题

7月26日,专门揭露白宫机密和丑闻的“维基解密”网站公布了长达20万页的9万多份美国军方机密报告。一时间,驻阿美军滥杀平民、掩盖塔利班获得地对空导弹等种种残酷和肮脏跃然网上。有人说,“维基解密”创始人朱利安·亚桑杰是民主的英雄,是黑客中的罗宾汉,而包括五角大楼在内的大多数人,则更倾向于把他看成是威胁国家安全的恶魔。


图:2010年5月21日,“维基解密”创始人兼主编朱利安·亚桑杰在澳大利亚悉尼。
继续阅读