荆楚网消息 (楚天金报) 特派记者姜远海 通讯员程钧、张雷报道:本月初,荆州市商务局官方网站服务器两次遭黑客非法入侵,网页内的局长照片竟被篡改成了“三点式”AV女郎艳照,黑客还留言公然向公安机关进行挑衅。昨日,荆州网监支队相关负责人接受本报记者采访时称,此案目前已成功告破,来自河南濮阳和湖北宜昌的4名嫌疑人已被拘留。
网站被黑局长变成“三点式”女郎
12月5日上午,荆州市商务局向该市网监支队报警:称其委托某科技有限公司建设并维护的“荆州市商务局”网站被人非法入侵,首页“领导介绍”栏目中,商务局局长的照片被篡改成一张衣着暴露的“三点式”AV女郎图片,还将“局长致词”内容篡改为“为Mack的女友庆祝生日”的一段无聊话语。
与此同时,有网民在东湖社区发帖披露了该网站“黑客艳照案”,引起了多个大型门户网站的关注,共有300多个大小网站、论坛纷纷进行转载和链接,短短24小时内,被篡改后的荆州市商务局网站的点击浏览量达到了9600余次。
正当此事在网上热炒之时,12月7日晚,黑客再次入侵荆州市商务局网站并再次篡改图片,还留言称:“请相关部门尽快处理,不希望下次我还能进来。”此时黑客气焰更加嚣张,甚至在公安机关的网上报警平台上留言进行挑衅。与此同时,还有1728个网民在网上发帖称商务网站是被自己所“黑”,让警察赶紧来抓。一时间,网上真假“黑客”鱼目混珠、一片混乱。
黑客攻击商务局网站发生在荆州举办全球华商500强科技论坛之后,是不是有人专门针对荆州市商务局进行攻击?荆州市政府以及公安上级主管部门对此十分重视。荆州网监部门下定决心:一定要对这种恶意入侵政府网站的行为予以坚决打击。
图为:被篡改后的网站照片
本报特派记者姜远海 通讯员程钧 张雷
一波未平一波又起
两省留下黑客魅影
专班民警通过对服务器上的日志文件分析,发现黑客以SQL数据库注入的方式在12月4日两次入侵商务网站后台管理平台,时间分别是下午2时58分和深夜 11时7分,并在下午3时20分将网页中,原图片文件商务局局长照片替换为“三点式”AV女郎艳照,将原文本文件的局长致辞替换为恶俗留言。
侦查发现,相关信息均显示攻击源位于河南省濮阳市境内,专案组成员遂于12月7日晚赶到当地。在当地警方配合下,专班民警进一步获悉,两次攻击地点分别是濮阳市南乐县的一个ADSL用户和濮阳市区的某网吧。民警发现两地相距60多公里,但根据网站服务器上的记录显示,黑客在当晚的一次入侵结束后仅仅过了不到10分钟,就从第二处地点再次入侵。民警分析,这种情况不大可能是巧合,最大的可能就是作案者使用了“肉鸡”(指受别人控制的远程电脑)作跳板,以便隐藏其真实的攻击源位置,而对手一旦有使用“肉鸡”作跳板的意识,就会给侦查破案工作带来更大的难度。
要想搞清楚到底是黑客控制了“肉鸡”做跳板,必须要找到相关电脑,通过数据鉴定来查明缘由。专案民警遂于8日分别探访了两处地点,但结果大失所望:第一处地点位于南乐县城区一家名叫“恒创”的电脑维修铺,经营者名为21岁的张某辉夫妻。据查,张某辉仅粗通电脑硬件维修常识,其老婆对计算机更是一窍不通。据张某辉反映:其使用的电脑在前段时间因频繁中电脑病毒,已经在12月6日全盘格式化后重装了系统,之前的数据已荡然无存,无法判断是否曾被作为“肉鸡”而遭黑客控制。民警在第二处地点——濮阳市区某网吧调查的结果也不理想:该网吧上网终端机全部都安装了“还原精灵”(即硬盘还原卡),很难查清几天前网吧的某台机器是否访问过哪个网站。
正当远赴河南濮阳的办案人员面临困境时,8日,荆州又传来新警情:黑客于7日晚再次成功入侵商务局网站,并留言称:“发现网站漏洞还存在,此次本着友情检测的原则,不予删除数据,但请相关部门尽快处理,不希望下次我还能进来!”而记录显示此次攻击的地点是在湖北宜昌市境内。
4日与7日的黑客有无关联?入侵黑客是否是同一伙人?是继续留在濮阳还是赶赴宜昌进行调查?办案人员面对两难选择。
盯住蛛丝马迹不放
两拨黑客先后“现形”
专班民警分析,虽然4日与7日的入侵手法相似,但作案者在作案前后的表现不尽相同,4日的入侵,作案者有一定的防范意识,并在作案后隐匿身份、销声匿迹;而7日的入侵,发生在网上炒作正酣之际,作案后还公然向公安机关挑衅,并在留言中透露了部分个人信息,两者心理状态差异较大,很有可能是两拨不同的黑客所为。专班民警决定,原班民警留在濮阳继续调查;再派民警赶赴宜昌,对7日黑客进行调查,力争使两地的黑客都现出原形。
濮阳小组首先从“恒创”维修铺里发现的那块已被重装系统的电脑硬盘入手,通过技术手段恢复了部分原有数据。发现在12月4日当天并未有病毒运行、远程端口开放或外部异常链接的痕迹,表明4日当天该电脑作为“肉鸡”遭黑客控制的可能性很小。同时,在电脑硬盘中还发现一个可疑的QQ号码19××××××,调查发现:该号码的使用者曾在网上开办有一个黑客网站,并有入侵攻击多个网站的记录,同时通过技术分析,进一步确认该QQ号码与荆州市商务局网站被攻击一案有密切关联。从而认定19××××××这个QQ号码的使用者有重大作案嫌疑。
在大量证据面前,“恒创”电脑维修铺的老板张某辉不得不承认:QQ号码19××××××是其堂弟张某东所有,12月4日就是张某东在他店铺内上网,并对荆州市商务局网站实施了入侵和篡改页面。几天后,张某东发现网上对商务网站被“黑”事件进行了大量报道,并称公安机关已介入调查,感觉不妙,已于12月6日仓皇外逃。
办案人员当即通过其家属向其传递信息,规劝其主动投案,在公安机关强大的政策攻势下,张某东于12月11日下午14时,主动到公安机关投案自首。几乎同时,宜昌小组也传来捷报:12月7日实施入侵和篡改网页的两名嫌疑人也相继落网。
公安部网络安全专家:
网络入侵是违法犯罪
经调查,张某东2006年开始接触电脑和网络,先后通过一些黑客网站、论坛,学习网络入侵和攻击技术,还在上述网站上发布过黑客攻击的视频教程。12月4 日下午2时许,张某东在其堂兄张某辉位于濮阳市南乐县的电脑维修部帮忙时,利用张某辉的电脑和账号上网,在网上下载了一个黑客入侵工具,通过该工具在网上进行扫描,很快发现荆州市商务局网站(www.jzsww.gov.cn)存在系统漏洞。张某东随即通过入侵工具获取了该网站的管理员账号、密码以及后台管理路径,于当日下午2时58分登录网站后台管理平台,用网上随便下载的一张“三点式”女郎的图片对原网站的“领导介绍”图片进行了编辑替换,并将原“领导致辞”内容进行了删除、修改。作案后,张某东为炫耀其黑客技术,还通过QQ将“黑”掉荆州商务网站的消息和方法告知了其他QQ好友。他的其中一个QQ好友按照张某东所传授的方法,于当晚11时48分在某网吧再次入侵商务网站(但未篡改数据)。
而宜昌的两名嫌疑人则是在网上看到关于荆州商务局网站遭入侵的报道后,出于好奇和炫耀心理,也使用类似的网络入侵工具于12月7日晚再次入侵该网站,并将“领导介绍”和“领导致辞”的内容再次进行篡改和替换,并在荆州市报警网站上留言,炫耀其入侵技术。
昨日,公安部网络安全专家组成员、荆州市公安局网监支队政委李恩忠就此案表达了自己的担忧:我国网络发展迅猛,但是很多政府部门网站对建网站非常随意,一些管理公司也疏于管理,为黑客入侵留下漏洞;数据中心的网络安全虽然有技术标准,但是这种标准没有认真落实,隐患非常大;网络入侵是违法犯罪,而现在很多黑客对此认识不够,等受到法律的追究和严惩时就悔之晚矣。