Zola:支付宝控件漏洞和Donews被挂木马这些破事

Jcomics

我以前是网络管理员,曾在xfocus灌过水，从那里知道一些人是黑客产业链的从业者。我的技术不行，又只顾着玩娱乐圈，没黑过一个网站，进不了黑客圈，没能成功渗透到他们的团体中，了解不到他们的运作方式，我直到看到黑客产业链这张图才明白他们的运作方式。

前几天我说了Donews的坏话，结果有人问我free.donews.com是干什么的，我说是一个谣言集散地，各大IT厂商发布小道消息的地方，淘宝的市场公关人员和腾讯市场公关人员经常在那里吵架，拼命顶对方的负面新闻。然后他就报料给我，说他入侵了 free.donews.com大半年了,卖不了钱,看来没什么用。我让他公开算了，反正Virushuo这个Donews的技术支柱和keso这个 Donews的精神支柱都已经前后离开Donews了，Donews败象已露，再顶一下，顺便落井下石，搞搞他们的负面新闻.

于是，我告诉他留个页面证明网站有漏洞就行，然后我帮他在BLOG里公开一下广而告之．我还告诉他，可以放点有知识性和娱乐性的内容，可以署名，可以顺便宣传一下什么是"独立媒体"，并且放一些TK教主最近就支付宝安全问题发表的日志的链接来恶心一下Donews和Alibaba的公关人员，这说不定是新闻事件啊，说不定还可以顺便帮我抢＂度谷＂这个关键字排名，他做了一个伪造网页传上去了，然后我截屏并复制了一个放到http://www.fangeming.com上吸引别人来看，Donews的老板该不会告我是入侵Donews网站的同谋吧？但愿他们能证明是我干的，好让我有机会去监狱里参观参观．

我可没料到，那个入侵者的胆子够大，敢留下"hacked by Melody"，估计这名字只是小范围的人知道，他自称多次接到110打来的电话浪费他的电话费，入侵后上传的页面在这里：http://free.donews.com/templates/default/redirect.php 看上去是通过模板方面的漏洞入侵的。欢迎大家来看黑客入侵留下的页面里的搞笑内容，如果时间久了，漏洞被补上，黑客上传的被删除，你可以移步到这里继续查看。

为了广告淘宝用户的利益着想，强烈推荐所有淘宝用户查看TK教主的文章：

《支付宝控件漏洞--到底是谁在撒谎？》
《关于信息安全和安全漏洞的一些科普--从支付宝控件漏洞谈起》

所有用户都应该重视浏览器安全问题，王小峰的BLOG就被入侵过，被别人放了网页木马，TK 也在上面提到的文章中演示了网页木马的功能，当你用IE打开那些页面时，网页中的漏洞利用代码可以调用运行电脑里"计算器"，很可怕吧？似乎这个黑客也故意在Donews的网页代码中嵌入了网页木马代码(下图为证)，他可没报料告诉我已经放了木马了，也许不是他干的，而是Donews的主机安全太差点被众多黑客轮奸了。如何避免网页病毒呢，TK在文章中说了，网页木马是针对Internet Explorer 浏览器的，改用firefox(点此下载Firefox)或者opera就好。

附： TK，TombKeeper，于旸(yu yáng)，白帽子黑客，绿盟公司的资深安全研究人员，被人们戏称为"妇科圣手"或"TK教主"，技术和人品那是没得说，众多Fans愿意尊称为TK教主一方面是佩服，另一方面是尊敬。对了，有人称他是"黑客中最好的博客，博客中最好的黑客"，他经常写一些手工制作或美食制作方面的文章，当然，还有科普文章，推荐订阅他的BLOG。

附图：
free.donews.com的首页也有网页木马，我不加这个站点的链接了，有图为证：