提醒:本文最后更新于 74 天前,其中某些信息可能已经过时,请谨慎使用!
你似乎正在查看一篇很久远的文章。
为了你这样的访客,我特地保留了我的历史博文。不要笑话过去的我,用温柔的目光看下去吧。

GitHub今晨遭遇大规模中间人攻击

昨晚6,7点左右,国内访问所有的 github pages 页面开启 HTTPS 的话证书都变成下面这个

今晨,github.com也遭受了相同的中间人攻击

谷歌浏览器提示不安全
证书与昨晚的相同

疑似GitHub等网站遭到了大规模中间人攻击 。

中间人攻击(英语:Man-in-the-middle attack,缩写:MITM)在密码学和计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的Wi-Fi 无线接入点的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。

一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。

简而言之,所谓的中间人攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。

奇特的是,可以实现此攻击需要劫持运营商或者dns才有可能实现,但是这种公然留qq邮箱的做法就十分迷惑

本账号疑似真实姓名:张勇 ,黑龙江人???

经搜索,该用户曾在 https://blog.csdn.net/yhyhyhy/article/details/51248497#comments 帖子下评论,csdn账户: https://me.csdn.net/blog/qq_29158525 ;引出qq: 29158525

本账号疑似真实姓名:周言諭 ,台北人???
本账号疑似真实姓名: 谢邵 ,河南人???

据不可靠消息来源: https://www.hottg.com/liyuans/p31809.html 此邮箱可能归属于某三位数公司???

另有v2ex老哥声称之前就看到过这个邮箱劫持其他域名

证书生成疑似参照此文章:https://www.lagou.com/lgeduarticle/52972.html(是否参照存疑,不过原理确实相同,仅加密算法有所更改)

曾在贴吧提问: https://tieba.baidu.com/p/400626957?red_tag=3454236974

从论坛其他人评论可以得到其qq群关系:

群号:4823518 昵称:张勇
群名:建三江一中同学
群介绍:三江一中89级92届同学,,本届的加入,加入必须写名字!谢

群号:66136842 昵称:张勇
群名:亲友群
群介绍:沟通

群号:69386774 昵称:帅哥5号  张勇
群名:帅哥靓女对对碰
群介绍:命运负责洗牌,但是玩牌的是我们自己!

群号:72876767 昵称:张勇

群号:10456040 昵称:张勇
群名:synjones
群介绍:http://www.synjones.com

群号:13602636 昵称:灵山-D3
群名:★城东新居—D区★
群介绍:哈尔滨城东新居,群策群力,共建美好家园。(有好的主张,可以发到群论坛)

群号:15116517 昵称:灵山-D3
群名:城东新居
群介绍:小区业主维权的专家,溪畔家园业主委员会的李主任,联系电话是13069708074。大家回家

群号:15376336 昵称:心即灵山
群名:金龙卡服务群
群介绍:内部专用

群号:32068923 昵称:心即灵山
群名:城东新居高级群
群介绍:希望大家都能为本群和小区做一些贡献。都想一想办法,怎样能解决我们小区现存的问题。
群号:19466772 昵称:我想回到以前
群名:张兴庄吧

群号:52260534 昵称:我想回到以前
群名:巧
群号:1363550 昵称:(り Remote、
群名:都四班的

群号:4250637 昵称:(り Remote、
群名:QQ群
群介绍:http://www.167cq.com/

群号:70152084 昵称:谢绍。
群名:国专08三班
群介绍:国际经济与贸易专科0803班

群号:84351791 昵称:帅气G★Remote
群名:荣华09汽三
群介绍:-

群号:92050039 昵称:(り Remote、
群名:v1p{會員}倲.总群

群号:92118193 昵称:(り Remote、
群名:高楼庄⒐⑥界黄金一班

群号:92637291 昵称:(り Remote、
群名:小伙伴

群号:95128769 昵称:(り Remote、
群名:藝术学院体育部
群介绍:发掘、培养体育特长学生;做好对班级的考核工作;协助其他部门开展工作。

群号:6888129 昵称:(り Remote、

群号:9496270 昵称:(り Remote、
群名:21中

群号:11604443 昵称:収惢養鮏.┊
群名:安阳铁路中学高06
群介绍:班级群外人勿进

群号:22739863 昵称:(り Remote、
群名:华□豫□学□院。

群号:29121641 昵称:(り Remote、
群名:乀闭丄眼﹋⒑指紧筘

群号:30215035 昵称:(り Remote、
群名:看群公告!好消息!
群介绍:免费拿話費兩百块!群里的朋友们用手机拨打1259064212参加侣友在线答题就可以了,我今

群号:32591681 昵称:(り Remote、
群名:高三一班群
群介绍:创建此群的目的:仅仅是为了提供朋友之间的交流。在此群里,拒绝一切色情粗俗

群号:34421223 昵称:(り Remote、
群名:魭滴系鲥緔
群介绍:IC,IP.IQ卡,通通告诉我密码!!

群号:38607494 昵称:(り Remote、
群名:ωǒ錯了?
群介绍:莪們都昰好孩孓。异想’兲開徳孩孒︶ ̄~°

群号:56483925 昵称:谢邵。
群名:国专0803班
群介绍:国专0803

总结:其人曾用qq:346608453,29158525,23853637;地址等不明,有代码基础,有能力实现本次攻击,疑似qq都是盗来的,无法确定本人身份

最后提醒:

《中华人民共和国刑法》第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

千万要知法守法,技术无罪,但是拿来做坏事可是要被抓进去的哦

11:03前来更新

攻击者换了一个证书,新的邮箱为 1396060845037@mymail.com ,截图如下

第一个qq里的网址可能是因为这个qq是盗的,如果这样的话,几个qq之间没有联系也就正常了

可能是最后的更新(2020/3/28 9:38)

昨天文章写的有些急,也受了一些言论的误导,出现了一处错误,csdn的昵称后缀是随机生成的,因此推出来的后两个qq号与此无关。而在昨晚,该用户修改签名为:“QQ号码被盗,现已恢复”,并在随后关闭空间(确实很多老哥前去轰炸),这一波貌似洗白的操作却是疑点重重。

首先,大家基本已经认为这个号是被盗的了,但是号主现身就有些奇妙,作为一个 从事软件开发工作近 16 年( CSDN 介绍 )的人,被长时间盗号,却不找回或无法找回,突然出事了便轻松找回,可能性???

而且,这样的话,另一个昨天没用到的点就有意思了,928天 qq达人,如果是盗号,那盗号的人也是把这个号当大号用了叭。这样我们可以假设确实被盗号,那么如果明天达人就该断了叭。找回了一个三年多没用的号,发完解释还会占着手机那一个qq登录的位置吗,大概率不会。而如果不是盗号,咳咳,那这位张勇兄弟大概就是真的勇了叭,哈哈。

其实说了这么多,就是我们这些GitHub重度用户,想要一个合理的解释,不管是有些人猜测的GFW,还是一线小兵误操作,抑或是黑客在家闲极无聊等等。如果是误操作或被黑,大家就当吃瓜一场,就算是墙的问题,我们也好提前搬好仓库吧。

发表评论

共有 5 条看法

  1. Hcreak

    100%墙干的 实锤了

    1. CYF@Hcreak

      这位老兄,我觉得100%说的有点过了,虽然很大程度上确实有可能是GFW干的,但是还有很多疑点,修改骨干网听起来确实匪夷所思,但不能确保是不是内部人员手贱?或者是大攻击前的试水都有可能,现在下定论似乎有点早了≧ ﹏ ≦

  2. 白嫖怪

    友链友链
    嫖怪の博客

  3. CYF

    确实很奇妙,账号被盗了还用了928天

  4. 范明明

    这个张勇可能是为墙服务的一个小白。以后ws+tls很难了。