您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
新鲜 正文
发私信给Jasper.T
发送

2

数百暗网遭不明身份者克隆并改写

本文作者:Jasper.T 2015-07-03 22:37
导语:项目负责人报告称,有人正在克隆并在修改数百暗网网站并且重写ahima.fi内容。

 数百暗网遭不明身份者克隆并改写

 ahmia.fi 创始人努尔米指出有人正在克隆并诱杀数百个暗网站点,同时还改写了某些内容。

“ahmia.fi”项目通过索引Tor网络中出现的内容来提供搜索引擎功能。努尔米注意到,存在异常数量的数百个其他暗网站点的克隆行为,包括DuckDuckGo 及他的ahmia.fi.

 “你好,前不久我意识到有一个Ahmia的克隆网站。现在我意识到,有人确实在给所有的流行洋葱网站生成类似的洋葱域名,然后重新编写里面的一些内容。比如:

真正的Ahmia: http://msydqstlz2kzerdg.onion/search/?q=duckduckgo 

假的Ahmia: http://msydqjihosw2fsu3.onion/search/?q=duckduckgo 

仔细看他们的不同: 

真的DDG: http://3g2upl4pq6kufc4m.onion/ 

假的DDG: http://3g2up5afx6n5miu4.onion/  

看起来情况是这样的:未知攻击者试图引导使用者访问假网站。这些攻击者管理很多与那些流行网站相似的克隆网址。这些网站实际上是真网站的代理网站。但是,这些网站作为中间攻击人攻击网站并且重新编写其内容。这些攻击者可能是在搜集信息, 包括访问者的用户名和密码。我进行过一些数据挖掘并且与Ahmia.fi比较,发现似乎至少有255个镜像站点。看这个网址http://pastebin.com/iHPwhCeH” 。怒米尔将这个网址写在Tor-Talk 邮件列表里。

D由于URL的结构,那些攻击者很有意通过传播合法暗网网址的假网站来诱导Tor的访问者访问那些假网站。没有人能够记住一个网站的URL,让我们以DuckDuckGo的一次事件为例:

http://3g2upl4pq6kufc4m.onion/ (真网站)
http://3g2up5afx6n5miu4.onion/ (假网站)

努米尔认为,假暗网不只是真网站的简单复制,而是为他们代理(至少是能够后台进入网站),这就使那些攻击者能够进行中间人攻击,窃取敏感数据或者是输入恶意代码,这些代码能够使Tor使用者泄露信息。

数百暗网遭不明身份者克隆并改写

用户名为“garpamp”的用户说,这已经持续了好几年。他称Tor的退出节点被用来恶意修改list.onion网址。用户“gargamp”称,他已经注意到那些退出节点被用来恶意修改一些常用网站的网页。他确信,一个恶意退出节点的确被用来重写努米尔张贴的网页网址。

“我也注意到有节点在重写基于clearnet的网址。”

[1]像****后面的******就是对pastebine网站的修改。185.77.129.189 dc914d754b27e1a0f196330bec599bc9d640f30c

罗杰丁格尔丁,Tor开发项目负责人,确认用户“garpamp”发现的恶意退出节点现在已经被标注“恶意节点”标志,这就意味着他们不能作为退出节点运行。

就现在而言,关于谁是假网站背后操作人,谁在用退出节点修改真网站的网址以及他们的行动动机,我们一无所知。

雷锋网将为大家带来后续报道。有关暗网可通过雷锋网此前发布的《“暗网”江湖:另一个平行的互联网世界》一文进行解。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说