關於 Discuz! 後台訊息通知系統域名被劫持

from: http://www.discuz.net/thread-1184256-1-1.html

關於 Discuz! 後台訊息通知系統域名被劫持　部分網站受到影響的說明
1月8日11:38分，部分站長發現論壇首頁出現「Hacked by ring04h, just for fun!」的提示。針對用戶反饋，康盛創想官方立即組織技術人員對論壇程式進行安全排查，並未發現相關網站的程式漏洞。

11:54分，官方安全部門發現網站 http://customer.discuz.net 域名被劫持，指向一台攻擊者控制的伺服器(203.86.236.236)。Customer 網站是 Discuz! 用於發送論壇補丁和安全補丁通知的緊急接口。駭客首先利用 Discuz.net 域名服務商的漏洞，登錄並修改了 Customer 的域名位址，並事先寫好了一段攻擊代碼存放在一台伺服器上。當站長登錄進入論壇後台首頁時，由於論壇通知伺服器的域名被劫持到新伺服器上，從而使得攻擊代碼運行，模仿站長的身份，提交並修改了論壇的 seo 設置。從而造成論壇無法正常訪問。

官方立即修改被劫持域名。11:55分，被劫持域名的重新定向工作完成。

12:15分，官方論壇發放惡意代碼清除方法和工具（http://www.discuz.net/thread-1183991-1-1.html）。

本次事件僅涉及到域名劫持期間登錄管理後台的網站，Discuz.net 官方論壇和絕大多數論壇未受影響。

同時，受影響網站也可以採用手動修復的方法清楚惡意代碼。您可以進入管理後台-全局設置-優化設置-搜索引擎優化，查找代碼然後手動去掉此段代碼，論壇即可恢復正常訪問。

域名是互聯網基礎服務，本次安全問題系由域名劫持造成，Discuz! 各版本軟體代碼在安全上並無問題，故 Discuz! 官方除了發佈恢復方法及恢復工具以外並沒有新的補丁發佈。

此次域名劫持所造成的安全問題，是一次嚴重的攻擊行為，其行為已違反相關法律法規。根據全國人大常委會於 2008年12月22日開始審議的《刑法》修正案(七)草案中相關條款，此類攻擊行為屬於被政府嚴厲打擊的犯罪行為。Discuz! 官方已對案發全過程進行證據保全和公證，並保留追究攻擊者法律責任的權力。