百度统计曾被注入木马，怪不得百度全面ssl了

Fun

本帖最后由 Fun 于 2015-4-29 09:28 编辑

之前我一直不明白我的网站为什么会有国外的广告，查询代码没有问题，还以为he的dns有问题，现在终于明白了，问题出在百度统计，一直认为百度技术强，安全性高，所以忽略了。

因为当时改dns广告就没有了，那是因为广告网站是被墙网站，一旦上网代理就能显示出来！

来自月光：

　据谷歌安全博客报道，在三月上旬出现了一种新型的DDOS攻击方法，这种攻击通过拦截正常网页的内容，注入恶意JavaScript代码，来实现对目标网站的攻击。

　　在这种新型攻击里，攻击者劫持百度几个颇受欢迎的服务（百度统计百度联盟等）的JavaScript代码，将正常代码里嵌入了恶意代码，通过这些恶意代码对目标网站进行DDOS攻击。

　　Google的Safe Browsing系统在虚拟机里扫描网站寻找恶意内容，它每天分析数百万网页。Google工程师分析了3月1日到4月15日之间的数据，发现Safe Browsing第一次探测到百度域名的内容劫持是发生在3月3日，最后一次是在4月7日。攻击的执行分为多个阶段，第一阶段是测试，时间是在3月3日到3月6日，测试目标IP 114.113.156.119：56789（北京电信通），请求次数被人为设限；3月4日到6日，请求限制被移除。第二阶段是在3月10日到13日，最早的目标IP 是203.90.242.126（香港），请求一开始是通过HTTP，之后升级到HTTPS.3月14日开始同时通过HTTP和HTTPS攻击目标网站，3月17日攻击停止。JS内容替换在3月20日完全停止，但HTTP注入在继续。JS内容替换会破坏原内容功能，但HTTP注入不会。3月26日，百度的明文脚本被拦截替换了一个恶意JS代码，攻击目标网站，4月7日攻击停止。Google称，有8个百度域名遭到劫持，被注入不同大小的JS代码。Google认为，如果百度将Javascript代码全面启用HTTPS加密，将可以防御此类攻击。

do99

那几个IP是做什么的

SKIDROW

GitHub那次吧……

Fun

do99 发表于 2015-4-29 09:26

那几个IP是做什么的
我想是百度统计被植入攻击代码，凡是浏览含有百度统计的网站的电脑，都会被当成肉鸡！

Fun

SKIDROW 发表于 2015-4-29 09:30

GitHub那次吧……
有点久了，当时我查代码没问题，以为he公共dns在劫持，所以没有继续查下去，不过没几天广告就没了，也就没在意。

想不到百度也会中招！

醉里耍大刀

其实在中国劫持这事情很普遍，没人管，**