已修复漏洞仍导致6万网站被黑；美女黑客被无故扣污名 | 宅客周刊

本周关键词

▼

Wordpress 漏洞  |  Windows10 蓝屏  

macOS 恶意软件 | 女黑客被无故扣污名

有些漏洞，明明已经修复了，却依然造成不小影响；有的漏洞，明明能造成不小影响，有人却迟迟不去修复。

Wordpress内容注入漏洞致超67000个网站遭黑产利用

前不久，雷锋网报道过博客管理系统 WordPress 在4.7.1 版本存在一个严重漏洞，导致攻击者可以在没有密码登录的情况下强行修改网站的文章内容。在该篇报道之前，WordPress 团队已经发布了4.7.2版本，修复了该漏洞。雷锋网当时也提醒：有相当一部分网站没有开启自动更新，考虑到 WordPress 的使用者甚多，受影响的网站数量依然不容小觑。

果不其然，安全公司 Sucuri 披露：”自上周一该漏洞细节公开后，攻击范围不断扩大，最近每天趋于3000次。超过67,000的网站内容已经被篡改。” 攻击状况呈现这样的趋势：

攻击者精心构造一个向目标站点REST API发起的HTTP请求，可以修改文章的标题和内容。也就是说可以在你的网站上挂上他们的文字和图片，比如赌博网站的广告，以及一些羞羞的内容。

据雷锋网了解，在发动攻击的团伙中有一个叫“w4l3XzY3”的，因此你通过Google搜索"by w4l3XzY3"，就可以浏览一些被他们攻击过的站点。

这是一个漏洞虽已被修复，但仍造成大规模影响的例子。相反的是，最近微软被爆出来一个“人人都可以把电脑玩儿蓝屏”的漏洞，漏洞爆出来好几个月，微软却依然不紧不慢，非要按部就班等到2月14号才发布补丁。

人人都可以把 Windows 玩蓝屏的漏洞，微软却不急着修复

早在 2016 年 9 月 25 日，安全专家 Laurent Gaffie 就发现了一个 Windows Server 的严重安全漏洞，但是在其向微软发出警告以后，微软却迟迟没有任何动作。这可把 Laurent 惹怒了，于是他在网上大肆公布该漏洞的细节，并发出抗议表示：微软你看不起本黑客提交的漏洞？

然而微软真的很淡定地表示：“在我们的安全政策中，对于低风险的问题修复，将安排在下周二（即2月14日）。” 言外之意就是该漏洞确实很“低风险”不足为惧。

然而据外媒报道，攻击者可以利用该漏洞远程将受害者的 Win10 电脑置于蓝屏，雷锋网也实测成功（演示视频见于雷锋网报道：《人人都可以把 Windows 玩蓝屏的漏洞，微软为什么不急着修复？》）。

那么为什么微软不发布紧急更新，而要等到2月14号再发布呢？雷锋网与 2016 年微软 MSRC Top 100 榜单上贡献度排行第 8 的百度安全实验室的资深安全工程师黄正取得了联系，他表示：

如果是微软的远程代码执行的 0day 漏洞被公开，微软应该会出紧急补丁，微软甚至会为 Adobe Flash 的 0day 漏洞推送紧急补丁，CVE-2017-0016 这个漏洞的攻击效果是远程蓝屏，我想微软评估危害没有那么大，所以不推紧急补丁，这个漏洞对普通网民影响是很小的，因为445、139端口默认是被防火墙保护起来的。

也就是说，微软认为该漏洞只是造成蓝屏，因此影响不太大，要等到定期发布更新时间在一并推出补丁。

上周除了 Windows ，苹果电脑的macOS 也出现了不大不小“幺蛾子”，值得读者们警惕。

新款 macOS 恶意软件耍起了 Windows 平台的“老伎俩”

外媒称，研究人员发现了两款新型 macOS 病毒，其利用了 Word 文档的“宏”（macro）功能来隐藏和执行恶意代码，一个不留神，它们就会在你的笔记本上扎根和窃取数据。这些都是曾经在 Windows 平台上耍过的“老伎俩”。

攻击者会引诱粗心的用户打开已被感染的 Word 文档，恶意软件会在加载恶意宏文件后被立即执行。

万幸的是，识别这些受感染文件并不困难，因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求，但只要在这一步刹住车，就可以阻止恶意软件的传播。

但是万一，你还是“手滑”点击了“运行”，那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染（下载额外的恶意软件）。

相较于这个老伎俩，另一款恶意软件“更加先进”。它并没有利用 Word 文档作为载体，而是伪装成一款合法的应用程序。

该病毒会提示用户下载并安装一个虚假的软件更新，然后开始窃取用户的 Keychain，通过钓鱼手段骗得用户名和密码（以及其它凭证），最终将数据传回给攻击者。

对于 macOS 用户来说，避免此类攻击的最佳方式，就是慎从第三方或不被信任的网站下载软件，而是直接前往苹果 App Store、或者应用程序制作者的官方网站。否则你就要有一双能识破黑客伎俩的慧眼，毕竟“艺高人胆大”嘛。

最近国内一位女黑客火了，倒不是因为技术有多高，而是因为一年不洗澡，还倒卖银行卡被抓，我想这可能是女黑客形象被黑得最惨的一次，而且中间还出现了一个插曲。

女“黑客”一年不洗澡，真正的女黑客被张冠李戴扣污名

据南方网报道，女黑客曾某仪年仅22，却像40多岁的妇女，她在网上结识了一帮盗刷银行卡的人，于是她开始窝在房间里，每天疯狂地加QQ群，到处搜索银行卡信息，再把这些信息卖给专门盗刷银行卡的人。

落网当天，办案民警发现她的房间简直就是一个垃圾场，床上堆着脏兮兮衣服；地上是快餐盒、易拉罐。而她的电脑里发现了包含有“四大件”的银行卡信息50多万条。

女黑客本人将近1米7的个子，头发一把一把地粘在一起，凌乱地披散着。民警伸手拉她，一拉就是一手死皮。其家人说，她已一年没出门，一年没洗澡，她也不许家人进她的房间，平时吃饭由家人将饭送到房间门口。据报道，生活上一塌糊涂的曾某仪，在网上几乎无所不能，从技校毕业后网上自学成为一个黑客，除了卖银行卡信息，还做走私车买卖中介。

就这样“女黑客一年不洗澡”的新闻刷爆网络，戏剧性的一幕出现了：网站在报道该新闻时配发了知名网络安全公司启明星辰ADLab负责人孙薇的图片，导致这位真正的美女黑客被扣污名，一时间黑客全炸开了锅。

一位多奇趣的美女，一位会照顾人的姐姐，一位搞管理的黑客，一位懂技术的总监。一夜之间却和“一年不洗澡不出门，疯狂窃取别人信息的女‘黑’客”的人牵扯到一起，这让了解她的圈内朋友都感觉无法接受和愤慨。

虽然该门户网很快被下发了侵权通知书，然后当天下午删除了相关照片，但依然对其形象造成了不小的影响。孙薇对自己“无故躺枪”表示有些无奈，她说：“这个一年不洗澡女黑客新闻事件里的女主角，其实最多只能算“黑产业链”的一分子，连黑帽都算不上的，而把这样的人冠以‘黑客’，我个人觉得不是很贴切。”

此前采访过孙薇，配图被误用的媒体“安在”也表示，对于此次事件将继续追溯到底，以还网络安全从业群体之清白。

宅客频道对此表示，不要对安全从业者、黑客群体有什么不好的刻板印象，其实很多男黑客都是帅气逼人又有才华又有钱的高富帅，女黑客也有不少身娇体柔、温文尔雅的大美女，不信你去看看雷锋网宅客频道的黑客报道。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。