這件事情剛被我發現,雖然出問題的網站似乎不是蘋果自己管的,但所有的logo都是壹蘋果字樣,還是突現了網路安全維持的困難。
我是這樣注意到的:
1. 打開蘋果日報首頁,在http://1-apple.com.tw/apple/index.cfm
2.左邊選單,有個購物王,點下去就會到http://eshop.1-apple.com.tw/
整個網頁看起來很正常,試著把滑鼠游標移到橫幅廣告下面這排小字
啟用虛擬集點卡 購物需知 紅利集點說明 兌換商品一覽 集點 管理中心
看瀏覽器下方,會看到網址是http://shopping.1-apple.com.tw/start.php?member=A5880000,如圖所示:
3. 找一個連結點點看,例如點"啟用虛擬集點卡",這時會打開一個新的視窗,裡面顯示的都是奇怪的外國文字。
仔細看看,會發現這一頁內容都是http://pikatechs.com這個網站的資料。
4. 這樣已經確定有問題了,只是不知道問題有多大。
我想,或許只是http://shopping.1-apple.com.tw的某個程式寫壞了,讓別人有機可乘。可是,看起來似乎壞了好幾個地方,包括start.php, infor_new.php, bonus_my.php都寫壞了,而且壞的方法都一樣,因為網址最後面加的都是同樣的member=Axxxxx的參數。
這樣是蠻奇怪的。好奇心使然,我試著打入http://shopping.1-apple.com.tw直接連連看,赫然發現,還是連到同一個網頁!
5. 看來,整個http://shopping.1-apple.com.tw都被這個pikatechs.com挾持了。猜測如果不是因為網站被駭,換掉了首頁,就是shopping.1-apple.com.tw這個DNS被挾持了。
打開了DOS視窗,查詢幾個網址如下:
C:\>nslookup shopping.1-apple.com.tw
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: shopping.1-apple.com.tw
Address: 216.255.187.108
C:\>nslookup pikatechs.com
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: pikatechs.com
Address: 216.255.187.26
C:\>nslookup 1-apple.com.tw
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: 1-apple.com.tw
Address: 61.66.29.131
C:\>nslookup www.1-apple.com.tw
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: www.1-apple.com.tw
Address: 61.66.29.131
C:\>nslookup eshop.1-apple.com.tw
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: eshop.1-apple.com.tw
Address: 61.66.29.134
看出來了嗎,1-apple.com.tw的網站,都放在61.66這個網段,唯獨shopping.1-apple.com.tw是在216.255這個網段,而且還跟pikatechs.com同一個網段!初步估計是因為shopping.1-apple.com.tw被那個pikatechs指到他們家的server去了。這樣說起來,是dns server被駭了!
如果是這樣,事情也不算小條。私下想想會不會是因為DNS放在跟那些壞蛋同樣的網段,所以被入侵或者偷修改了。
雞婆的先去http://reg.hinet.net 查了一下:
1-apple.com.tw的dns使用的是底下這兩個:
ns.1-apple.com
ns1.1-apple.com
再對這兩個dns的IP再做一次查詢:
C:\>nslookup ns1.1-apple.com
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: ns1.1-apple.com
Address: 61.31.50.35
C:\>nslookup ns.1-apple.com
Server: dns4.giga.net.tw
Address: 203.187.0.6
Non-authoritative answer:
Name: ns.1-apple.com
Address: 210.65.82.1
看到dns server的IP後,查詢了一下,發現dns server以及1-apple.com.tw的相關網站都是台灣的IP,是中華電信Hinet,新世紀資通以及台灣固網TFN等等各大台灣ISP的網段。而66.255的那兩個IP則是美國的IP,機器在美國。
兩者沒有什麼關聯,所以應該不是同網段的sniffer方式竊取密碼的。
推測是ns.1-apple.com伺服器被入侵了,偷改了這部份的A record。
當然,這只推測了為什麼http://shopping.1-apple.com.tw/會連到美國的那個網站去。
至於為什麼壹蘋果購物王http://eshop.1-apple.com.tw/上面那一排link會被竄改的這麼徹底,如果不是內部員工自己弄的,那就必然是駭客行為了。
再進一步用google搜尋shopping.1-apple.com.tw,可以找到約五個網頁含有這個字串,也可發現部分blog.1-apple.com.tw的網頁也遭淪陷,如圖:
可試試這個網址,就會看到
http://blog.1-apple.com.tw/playfun/index.cfm?Fuseaction=PersonArticle&ArtID=24309
查到這裡,因為不是1-apple.com.tw的網管,已經是我用公開資訊查詢的極限了。
不過,看起來1-apple.com.tw有三個地方出了問題,看起來不算不嚴重,包括
1. dns server中有一筆紀錄指向非自家的機器去,會顯示非蘋果的網頁內容。
2. 壹蘋果購物王上方橫幅廣告的下方連結資訊被竄改。
3. 壹蘋果Blog中有文章也淪陷,會顯示錯誤的購物資訊連結。
一下就看到三個包,而且發生在蘋果日報這麼大的公司身上…
作網路的人請自行小心,加強自家技術能力為上策。