ผู้ใช้ชื่อ Anthr@X ได้โพสต์ในบล็อก insight-lab.org ว่าหลายเว็บไซต์ในประเทศจีนที่มีการลงโฆษณาจากเว็บ Baidu เมื่อเข้าเว็บไซต์ดังกล่าวจากนอกประเทศจีน จะพบหน้าจอป๊อบอัพเด้งขึ้นมาทุกๆ 5 วินาที ในเบื้องต้นเขาคาดว่าน่าจะเป็นการโจมตีประเภท Cross-Site Scripting (XSS) จึงได้ตรวจสอบโค้ดดังกล่าวแล้วพบว่ามีการเรียกไปยัง URL ของ Github จำนวน 2 URL คือ github.com/greatefire และ github.com/cn-nytimes
เมื่อตรวจสอบต้นตอของโค้ดดังกล่าวก็พบว่ามาจากระบบที ่ Baidu ใช้เก็บข้อมูลผู้เข้าชมเว็บไซต์ (ลักษณะคล้ายกับ Google Analytics) โดยเป็นไฟล์ JavaScript จากโฮสต์ของ Baidu โดยตรง โค้ดดังกล่าวทำหน้าที่สั่ง redirect ไปยัง URL ของ Github จำนวน 2 URL ข้างต้น ตัวโค้ดถูก obfuscate และจะแสดงผลต่อเมื่อถูกเรียกใช้จากต่างประเทศเท่านั้ น ถ้าเข้าจากประเทศจีนจะเห็นเป็นหน้าว่างเปล่า
จากการตรวจสอบการรับส่งข้อมูลแพ็คเกตและเส้นทางการเช ื่อมต่อ ในท้ายสุดก็สามารถยืนยันได้ว่ามีการทำ hijack การเชื่อมต่อ http ให้ผู้ใช้ที่อยู่นอกประเทศจีนไปโจมตีเว็บไซต์ Github แบบ DDoS อย่างไรก็ตาม หลังจากที่เผยแพร่บทความก็พบว่าสคริปต์นี้ไม่ทำงานแล ้ว
ที่มา - insight-lab.org
Baidu, Security




อ่านต่อ...