V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Windelight
V2EX  ›  分享发现

对于昨天持续 10 多个小时 Github.io 的劫持,我有一些不同的看法

  •  
  •   Windelight · 2020-03-27 11:19:48 +08:00 via Android · 2647 次点击
    这是一个创建于 1462 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我个人认为其事情的发生,应该不是 NTT 、Fastly 、三大运营商干的,正所谓事出反常必有妖。

    这个证书的签署带有一个简略地址是 CN GD SZ COM NSP,电子邮件 [email protected] ,签发于 2019 年 9 月 26 日的一张自签名证书。

    说明这不得了,已经不是 DV 证书所包含的信息了,是 OV 级别。当然都是假的,不可信。但建立一个假设,这个 QQ 邮箱是真的,这是一个重要的前提。所以这位很有可能即将被全中国 GitHub 用户骂死的无辜(可能的)大哥就泄露了他的 QQ 邮箱。

    根据大家的信息,全国各地的网友都反馈几乎都无法访问,这就不是三大运营商存在那一家当 sb 自己封的问题。我同时推测这位很有可能签发的是一张测试的无证书结构的证书,通用名称就是 CA,而一般的应该是*.website.tld

    根据蓝点网、CnBeta 的报道,京东也收到了牵连。依我的河北联通家宽、4G 网来看,京东云至少在我正在写稿的时间没有问题。

    无独有偶,Zaker 、月光、solidot 、知乎、搜狐、卡饭、隔壁 loc 、IT 之家也有报道,维基百科已经更新,微博、推特、FB 尚未引发较强舆论。同时作为吃瓜群众的我在开始后的十几分钟就在 V2 见证了历史😂😂,顺便感谢站长感谢的十个铜板😃。

    好了不多废话,知乎问题 382718053 、382702036 已经有很多大佬图文并茂的解释了,我觉得我直接找人就好。(有些说已经恢复,但就我码字时间( 3 月 27 日夜)仍然没有恢复,河北联通 4G 网 /家宽)。另外还有一些同志提供信息指出不只是 GitHub 受到影响。V2 656367 、656394

    这位背锅的先生

    1.QQ 邮箱 [email protected]

    2.QQ 名称 心即灵山

    3.微信昵称 张勇

    4.双边地区均为 黑龙江省哈尔滨市

    5.证书签发位于 广东省深圳市

    6.在邮箱栏留下网址 www.138qb.cn

    7.留下年龄 47 岁

    8.留下生日 1 月 1 日

    9.性别为 男士

    10.手机号 158xxxxxxxx

    11.QQ 等级 74 级

    这里插嘴一路,根据 CnBeta 的报道,根据他们的小道消息疑似此人为一个高中生

    但是我就我正在看到的信息认为不会是这样的,虽然 QQ 的年龄可能不对,但是依据其 QQ 等级和 QQ 昵称、微信昵称,并且其从未开通会员,不应该为一个「当代青年」的那种。

    有趣的是,截止我码字的时间,这位大哥是一个登录连续长达 927 天的 QQ 达人,但还是被我一千多天打败了 (逃

    12.CSDN 随机昵称 qq_29158525

    13.CSDN 注册时间 5 年

    14.CSDN 介绍 从事软件开发工作近 16 年

    由上述信息,基本否定了 CnBeta 的小道消息。假设如果其介绍是自己注册时填写的,而其等级为 1,活动为零。所以推测其填写的日子为 2015 年左右,因为太模糊,只能定这个时间,再往前推算其参加工作时间为 1999 年,那么出生时间约为 1973 年,参加工作时年龄是 26 岁,按照 70 年代特征,不符合任意专科毕业后直接参加软件开发工作的年龄。

    然后呢,以上文字形成于今天的深夜,目前河北联通 4G 网 /家宽的 io 域名已经恢复,com 域名挂了,但是不是一个 mymail.com 证书,而是响应时间过长

    7 条回复    2020-03-28 19:54:42 +08:00
    lostberryzz
        1
    lostberryzz  
       2020-03-27 11:28:16 +08:00 via iPhone
    估计就是某神秘部门一线小兵误操作了
    Windelight
        2
    Windelight  
    OP
       2020-03-27 18:31:01 +08:00 via Android
    @lostberryzz 至少觉得目前网络盛传的高中生,做攻击测试,绝对是纯属臆测。当然我不否认高中生的创造能力,但是目前已知的数据的倒推绝对比 CnBeta 里的那些小道消息准确的多。不过这大哥好像高中学历和模糊的家庭住址都被 po,也真是应该注意一下网络隐私保护。
    Windelight
        3
    Windelight  
    OP
       2020-03-27 18:42:03 +08:00 via Android
    我仍然相信这个人是接盘侠,而这次攻击目标是骨干网出口段,或者墙的边缘代理,不应该是一个在家中闲来无事厌生厌世的人。推测其不应该是 Fastly 或者 Amazon 或者 NTT 负责 CDN 的员工,同时应该在广州深圳的或者其它地方的 Synjones 新中新上班,希望他别号里去就得了。
    我同时排除这位张先生不出名的可能性😂😂
    Windelight
        4
    Windelight  
    OP
       2020-03-27 19:01:53 +08:00 via Android
    同时网上有人反馈说网址 138qb.cn 曾经是一个盗号网站,但是,纵使是,他在去年 10 月还在 QQ 空间更新动态,十分「老龄化」的语言,也说明它不是一个高中生,毕竟 10 月还上课呢。根据其历史说说,还猜测它可能已经是一个有孩子的父亲了,同时他应该是被盗号过、又找回来,但没注意到改了个人资料中简介的信息( 2007/2008 )。
    Windelight
        5
    Windelight  
    OP
       2020-03-27 19:19:10 +08:00 via Android
    但还有一个更值得注意的是,部分网友反馈的新的劫持用到了一张 [email protected] 的证书,虽然前面的数字看似是滚键盘,但是其中 OV 的信息仍旧是 CN GD SZ COM NSP 的一串地址。有效期依旧是 10 年。一般的 CA 提供商都是前后差一天。比如去年 5 月 21 日到今年 5 月 20 日这个样子的,我绝对相信这两次不同的劫持是同一个人(包括的自然人、组织、机构、法人)的行为。去各个外贸网站搜索,找不到强关联于 SZ COM NSP 的公司,并且只有一家 Shenzhen NSP Ligting Technology Co.,Ltd,经过查看他们的 FB 主页,是一个销售灯管的,和这件事无关,但这两个劫持绝对是一个团体。
    hwenwur
        6
    hwenwur  
       2020-03-28 19:43:26 +08:00
    信息来源是 2013 年 QQ 群关系泄露,这号加的一个高中的班级群,群昵称叫张勇。可以推断这位一定是 2013 年之前读的高中。
    Windelight
        7
    Windelight  
    OP
       2020-03-28 19:54:42 +08:00
    @hwenwur 那个群名就叫建三江一中 89 届同学,群号 4823518,建立于 2005 年
    而且这么推算一下 16 岁上的高中,是一个正常的年龄,
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1567 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:00 · PVG 08:00 · LAX 17:00 · JFK 20:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.