777午夜福利理伦电影网-精品人妻av一区二区三区-无码国产成人午夜在线观看-国产成人+亚洲欧洲+综合

“如果收到我的私信，帶有鏈接，請不要打開，可能有病毒�！弊蛲�，不少新浪微博用戶發(fā)現(xiàn)，自己的賬戶不受控制地發(fā)送著奇怪的微博和私信，這些微博和私信中都帶有一個短鏈接，點擊鏈接后，上述癥狀會“傳染”給自己的好友。

　　昨晚8點半左右，病毒傳播至最高潮，很多用戶滿屏都是類似的病毒微博。至晚上9點25分，情況完全被控制。而新浪微博也通過微博小秘書的賬號向廣大用戶致歉。

　　瑞星、金山的病毒專家表示，這是一次蠕蟲攻擊。已知的中毒用戶數(shù)量，最高曾超過3萬。新浪微博2009年10月正式上線以來，用戶如此大面積中毒還是首次。

　　點擊鏈接就會中毒

　　昨晚8點多，新浪微博用戶周先生偶然發(fā)現(xiàn)自己的微博會自動發(fā)布一些古怪的鏈接，比如“傻仔拿錘子去搶銀行”，甚至還有一些不雅的內(nèi)容。他立即刪除了這些鏈接，并告知好友們千萬不要點擊自己發(fā)布的鏈接，否則也有可能會“中毒”。

　　如周先生一般受到困擾的用戶不在少數(shù)。不僅是個人用戶的微博，就連一些媒體、高校等單位的官方微博也不幸“中招”。晚8點20分左右，病毒傳播到最高潮，很多帶著V的認證用戶開始發(fā)送上述奇怪的微博�！靶吕丝萍肌�、“新浪財經(jīng)”、“頭條新聞”，還有眾多報紙、電視臺的賬號都在紛紛發(fā)布這樣的信息。每一條信息之后都附帶一個網(wǎng)站鏈接，但點擊這些鏈接后卻看不到相關(guān)內(nèi)容，而是進入一個站外網(wǎng)址。

　　在微博用戶們點擊這些鏈接的同時，自身卻也陷入了惡意鏈接的漩渦，自行向更多好友發(fā)布附帶有惡意鏈接的私信。

　　網(wǎng)友發(fā)現(xiàn)某賬號可疑

　　集體“中毒”的現(xiàn)象引發(fā)了網(wǎng)友們極大的關(guān)注。在惡意鏈接廣泛傳播的同時，網(wǎng)友們不得不通過自己的方式來阻止病毒的蔓延。

　　除了迅速地刪除了自動發(fā)布的私信之外，大多數(shù)不幸“中招”的用戶紛紛寫出提醒，告訴大家自己的微博賬號已“中毒”，希望好友不要點擊自己發(fā)來的私信，也不要點擊其他附帶鏈接的古怪信息。細心的網(wǎng)友們還觀察到，所有被“傳染病毒”的用戶在其“關(guān)注”一欄中都自動多了一個名為“hellosamy”的賬號。許多網(wǎng)友不禁判斷，惡意鏈接的源頭想必來自這個賬號。隨后“hellosamy”的賬號被刪除，被刪前已經(jīng)感染了至少3萬粉絲。

　　技術(shù)人員通過分析攻擊代碼指出，昨晚的攻擊是跨站請求偽造（CSRF，Cross-site request forgery）攻擊，這是一種利用惡意代碼的蠕蟲攻擊，利用了新浪存在的某種漏洞來發(fā)微博，發(fā)私信，加關(guān)注。還有人指出，“hellosamy”這個賬號的名字，本身也暗示了這種攻擊的方式。2005年，首個利用跨站點腳本缺陷的蠕蟲samy被創(chuàng)造出來，這個賬號應(yīng)該是黑客向這種攻擊方式在致敬。

　　一個小時清理完畢

　　面對突如其來的“侵襲”，新浪微博方面昨日表示，這是新浪微博發(fā)展近2年來首次面臨大規(guī)模惡意鏈接帶來的困擾。

　　據(jù)新浪微博方面透露，大約在昨晚8點20分左右，工作人員們發(fā)現(xiàn)了惡意鏈接的問題，并立即展開了定位和修復(fù)工作。昨晚8點49分，新浪微博小秘書發(fā)布了首條關(guān)于惡意鏈接的公告：“目前微博出現(xiàn)惡意鏈接，一旦點擊會發(fā)出多條微博。技術(shù)正在緊急處理�！蓖瑫r，還以圖片的形式列出了惡意鏈接的內(nèi)容，提醒大家不要點擊。

　　晚上9點13分，微博小秘書貼出第二份公告稱微博上惡意鏈接問題已經(jīng)修復(fù)，用戶密碼等個人信息不會受影響。晚上9點34分，新浪微博再次向微博網(wǎng)友致歉，并稱截至晚上9點25分，微博上的惡意鏈接數(shù)據(jù)已清除完畢。

　　針對網(wǎng)友們反映的“hellosamy”賬號存在可疑行跡，新浪微博方面告知早報記者，技術(shù)人員已經(jīng)留意到這一問題，并正對惡意鏈接事件的原因予以調(diào)查。同時，新浪微博方面表示，會充分重視此次事件，并在今后的工作中加強反病毒方面的防御。

　　◎　引以為戒　各大微博：嚴格審核引入鏈接

　　新浪微博遭遇惡意鏈接侵襲的事件也引起了其他微博平臺的關(guān)注。昨晚，早報記者分別致電騰訊微博與搜狐微博的相關(guān)負責人，兩位負責人均表示，已經(jīng)在第一時間得知了該事件。

　　搜狐微博的負責人表示，此次新浪微博遭受惡意鏈接侵襲的實例反映了擁有海量用戶的互聯(lián)網(wǎng)所普遍面臨的技術(shù)上的一種威脅，而該事件也恰恰是一種提示，提醒各網(wǎng)站需要不斷提升自己的技術(shù)實力，進一步加強重視網(wǎng)絡(luò)安全上的防范工作。

　　騰訊微博負責人雖未對新浪微博“中毒”事件予以評論，但也表示，非常重視該事件所帶來的警示�！澳壳膀v訊微博對于外連引入的鏈接都有嚴格的審核�！痹撠撠熑朔Q，通過昨晚的事件，騰訊微博也將在網(wǎng)絡(luò)安全方面進一步完善自身�！耙皇且�注重對用戶賬號安全的保障，二是要保證用戶不受惡意信息的干擾。此外，該事件還反映出，擁有一個快速的應(yīng)急、解決的機制非常重要�！�

　　 中毒時間表

　　20:14 開始有大量帶V的認證用戶中招轉(zhuǎn)發(fā)蠕蟲

　　20:30 病毒頁面無法訪問

　　20:32 新浪微博中hellosamy用戶無法訪問

　　21:02 新浪漏洞修補完畢　　　　

　　用戶過億的新浪微博昨晚大規(guī)模中毒。

　　 惡意鏈接“傳染”至少3萬用戶

21時25分新浪清除惡意鏈接并向網(wǎng)友致歉
CSRF代碼如何步步攻擊

　　嚴格來說，CSRF并不是一種“病毒”，而是一種惡意代碼。CSRF(Cross-site request forgery跨站請求偽造)主要是由攻擊者在網(wǎng)頁中植入惡意代碼或連接，當受害人的瀏覽器執(zhí)行惡意代碼或者受害人點擊連接后，攻擊者就可以訪問那些被害人身份驗證后的網(wǎng)絡(luò)應(yīng)用(比如郵箱、微博等需要登錄的網(wǎng)絡(luò)應(yīng)用)。

　　如果被害人采用多窗口瀏覽器，攻擊者就可以以被害人身份控制瀏覽器中任何一個窗口中的Web應(yīng)用。

　　微博用戶怎么步步中招

　　根據(jù)網(wǎng)友公布的對惡意代碼的分析，這段代碼主要由6個部分組成：

　　1 控制被代碼感染的微博賬號：只要點擊了代碼，同時新浪微博賬號打開著，該賬號就會被控制。

　　2 定義10條私信：被控制的賬號，將會隨機發(fā)送固定的10條微博，并在微博內(nèi)附上惡意鏈接繼續(xù)傳播。這10條微博中，有的是偽造的熱點新聞，有的則是帶有些色情意味，目的就是吸引用戶主動點擊。

　　這10條內(nèi)容分別是：郭美美事件的一些未注意到的細節(jié)、建黨大業(yè)中穿幫的地方、讓女人心動的100句詩歌、3D肉團團高清普通話版種子、這是傳說中的神仙眷侶啊、驚爆!范冰冰艷照真流出了、楊冪被爆多次被潛規(guī)則、傻仔拿錘子去搶銀行、可以監(jiān)聽別人手機的軟件、個稅起征點有望提到4000。

　　3 定義10條微博：內(nèi)容和私信一致。

　　4 發(fā)布微博：主動發(fā)布上述定義的10條微博，這些微博會被該賬號的粉絲看到。

　　5 強制關(guān)注一個賬號：在此次事件中，受到感染的賬號都強制關(guān)注了一個名為hellosamy的賬號。

　　6 發(fā)布私信：會向互相關(guān)注的賬號發(fā)送私信，私信內(nèi)容和上述定義的10條私信相同。

◎ 教你一招　 一旦被攻擊用戶怎么自我解毒

　　金山毒霸的病毒專家表示，雖然此類代碼并不會盜取密碼，也不會有后遺癥，但短時間內(nèi)依然有一定的危害。

　　一旦遭遇此類情況，用戶應(yīng)該：1.不要點開私信里的任何鏈接；2.把私信接受的權(quán)限設(shè)置為“我關(guān)注的人”；3.馬上退出登錄。

　　如果用戶點擊了有關(guān)鏈接，懷疑自己微博不正常，用戶應(yīng)該：1.立刻退出登錄微博；2.馬上清空瀏覽器緩存。