我是一个大侠,你要
知道一个大侠,不会对你的数据感兴趣的。由于你的网站存在大量漏洞,特用此方式通知管理员。”
HACK
★身份
川内某高校的在读研究生。
★目的
发现很多网站有漏洞,友情检测,善意提醒,不会修改网站数据,也不影响网友对该网站的访问。
★招式
通常是找漏洞入侵,拿下服务器,全靠双手。可以把整个网站下载到本地或者将内容全部删除。
★战绩
西北师大、川师大以及广东等地的一些学校的网站,都在他的控制之下;川内高校只有入侵电子科大网站失败。
★后续
不敢再黑了,担心被入侵的网站追究,毕业受影响,导师受牵连。
怕毕业受影响不敢心太黑
一年内入侵多家网站,却从未被发现。
黑客称“只是善意提醒,不会破坏数据”。昨日上午,有网友报料称,四川师范大学的网站被黑客入侵。随后,记者联系上“入侵者”,得知他还入侵过不少大学的网站,而这些网站至今仍没发现自己已经“全裸”。
现状
入侵后挂黑页 留下“脚印”自称“大侠”
“四川师范大学网站被入侵”,昨日上午8时许,根据网友报料,记者打开一个黑客页面。该页面网址前半段是四川师范大学研究生院的地址,后半段是“new.asp”。
随着页面的打开,黑色底子的页面中间,逐渐显示出一段文字:“尊敬的管理员,您的网址已经被我挂上黑页,本次入侵纯属安全检测!没有对贵站做任何安全破坏。今天很荣幸在你页面上说上几句话,我是一个大侠,你要知道一个大侠,不会对你的数据感兴趣的。由于你的网站存在大量漏洞,特用此方式通知管理员。”
记者尝试从四川师范大学网站首页登录研究生院主页,发现一切正常,点开几个新闻链接,页面显示也正常。“可能是站点目录下加了个页面文件”,计算机技术业内人士告诉记者,没链接到这个页面的情况下,网站就是正常的,但网站的数据,很可能已经全部陷入黑客的操控之下。
原因
很多网站有漏洞 “善意提醒”不破坏
从黑页上的信息来看,这个入侵者一点都不怕暴露自己,因为他明确声称对此负责,还留下了QQ号码。
记者根据黑页上的QQ信息,联系上这个昵称叫“蹦呀蹦”的黑客。“我黑了很多学校”,“蹦呀蹦”称,西北师大、川师大以及广东等地的一些学校,都在他的控制之下,他可以把整个网站下载到本地或者将内容全部删除,川内高校他尝试入侵而没有成功的只有电子科大,“电子科大使用的JSP的技术高,很难进去”。
“也谈不上什么黑客,就是网站做多了,就知道哪里有漏洞了”,“蹦呀蹦”说他通常是找漏洞入侵,拿下服务器,全靠双手,而有些黑客会使用“黑客工具”,找漏洞更方便,速度也更快。
做了一年多的黑客,入侵过很多高校的网站,“蹦呀蹦”说自己从来没被发现过,“学校的管理人员技术不行,有些没意识到”。
“蹦呀蹦”称自己是川内一所高校的在读研究生,入侵并留下“脚印”,只是因为发现这些网站有很多漏洞,“友情检测,善意提醒”,并不会修改网站数据,也不影响网友对该网站的访问。
为何要采取这种方式来提醒?“蹦呀蹦”说很多学校的管理人员技术不行,也不重视网络安全,就算跟他们说了也不会起作用的。
“挂上名字,主要是黑客内部之间的较量。”“蹦呀蹦”说。
“不敢再黑了,要找我的”,“蹦呀蹦”说自己还是在校学生,担心被入侵的网站追究起来,自己毕业要受影响,导师也会受牵连。“我只是入侵了以后打上黑页,虽未触犯刑法,但要追究我民事责任的。”“蹦呀蹦”说。
各方说法
如果后果严重可能被拘留
校方:打算尽快更换系统
记者联系上四川师范大学研究生院,对方表示尚不知道被入侵,该院的网站是请校外的公司制作和维护的,一般只在发现问题的时候才找公司解决,以前只发现过病毒入侵,黑客入侵还是第一次遇到,经过这次事件以后,他们打算尽快更换系统,并加强完全检测。
律师:可能受到行政处罚
律师邢连超表示,从目前了解到的情况看,“蹦呀蹦”的行为是违法的,但还不构成犯罪,因为他的动机是善意的,而且没有造成损坏后果。
如果被入侵的网站追究责任,“蹦呀蹦”需要赔礼道歉;如果事情严重,比如造成了损害后果,“蹦呀蹦”还可能受到行政处罚,比如警告、罚款、拘留等。
专家:提高黑客入侵难度
计算机技术业内人士告诉记者,网站被黑客入侵后即使可以正常访问,危险依然存在:因为能入侵说明网站有漏洞,“不能保证每个黑客都只是善意提醒,这次没给你做破坏,你可以不管,下次可不一定不破坏。”
业内人士提醒,网站最好对数据做好备份,并对重要站点,做定期安全检测,或者采用更高技术,减少漏洞,提高入侵难度。
幕后利益
“入侵检测”已成一种行业
“蹦呀蹦”说,现在“入侵检测”已经成为一个行业,很多网站都会雇佣职业黑客,定期检查服务器安全性,国内还有为黑客和网站管理人员提供这类中介服务的专业网站。
业内人士表示,“入侵检测”很早就有了,有需要的站点会找人入侵自己的系统,看已经完成的系统还有什么安全漏洞,或者做压力测试。寻找黑客的方式则有很多,比如通过网络中介,像网上购物一样完成交易。
记者在一家叫“黑客任务”的网站看到,找黑客入侵网页已经成了“黑客价值体现”。各种寻找黑客入侵网页的“任务”像普通商品一样被展示出来,等待有人“认领”。黑客通过投标、中标,成功完成任务后领取报酬。
在这样的网站上,发出任务者采取悬赏或者招标的形式寻找黑客,悬赏金额几十到几百元不等,有的更高。报酬则通过网站做中介,采用支付宝、网银等形式支付。
早报记者杨华丽
黑客入侵高校网站事件
2010年12月
清华大学网站
被植黄色信息
12月17日,黑客入侵清华大学子网站并植入黄色信息。此次攻击对该清华大学首页无影响,只是生成了以该网站子网站为域名的黄色网页。 (新京报)
2009年12月
重庆某高校
千人考试信息丢失
2009年12月29日,重庆某高校网站遭黑客入侵,1000多学生的考试信息丢失,涉及到考试的72个科目。被迫更改考试时间。 (重庆晨报)
2007年4月
四川某高校
百余人学分被篡改
西南某科技大学的吕斌,入侵四川省内多所高校的计算机学生管理系统,篡改在校生学分档案,并帮助其制售假文凭牟利。从2006年8月至2007年4月,仅入侵川内某师范学院教务管理网络系统一案,致使该院130余名学生302科学习成绩被改动。 (华西都市报)