主题：【原创】机关算尽，连环一串烧，这黑客... -- 铁手

前几天在网上发现一个网站空间服务商被侵导致大量所容网站工作不正常，并且经由IE给访问者的计算机安装木马。因为也涉及到西西河的网站安全，特别追踪了一段时间，并且在河里提醒使用IE访问的用户注意， http://www.cchere.com/article/844460

到今天为止，事情的来龙去脉大致有了眉目，必要的解决办法也有出台。在IE这一端，微软把原来准备在10月10日出的补丁提前到今天9月26日发布了。服务器的控制软件方面也在做相应的补丁。

整个事情追踪下来，一方面觉得颇有些惊心动魄，另一方面也觉得相当有趣。这里把我所了解的写下来，供大家参考和娱乐用。

最近一段时间来，很多人的 WINDOWS 机器中招了，被安了木马软件。一般情况下，中招往往是访问黄色网站的副产品。不过，这次的中招，中招者应该是很无辜的。错不在他/她，错在IE浏览器最近被发现的一个安全漏洞，还错在相当多的网站，原来好好的，突然变成了传播木马的网站。

你怎么会想到你常访问的，具有优良记录的网站，居然会让你的机器染毒？

还好，西西河这次是绝对没有问题的。

把所有的事件串在一起，我们可以看看一些有意思的东西。目前网上的网站空间服务商，很多是用了CPANEL作为系统控制软件。管理员通过它管理服务器，一般网站站主用它来管理自己的网站。有相当大的市场占有率。但是现在看来，它的开发和安全保障模式，特别是代码审查，有相当的问题。有人发感慨说，让一个封闭代码的软件来完全管理一个开源代码的系统，实在是一个莫大的讽刺，太让人觉得不可思议了。cpanel的代码里，在这次事件中，被发现有严重的安全漏洞。被发现后，他们连续发布了几个补丁，但是事件处理的不够专业。到目前为止，相信还有很多服务器没有被补丁修正这个漏洞。是潜在的侵入对象。

黑客首先利用了cpanel里的安全漏洞，通过普通用户权限，获得系统root用户权限，再利用这些权限，修改了系统的一些特性。用户在做访问的时候，给访问页面输出中加入一些隐蔽的 IFRAME 代码，在那些代码中把用户的浏览器重定向到某个网站，然后在那个网站上的网页利用了IE的安全漏洞，给访问者的计算机上安装木马！

这样的做法，就算你规规矩矩，你都有可能中招！因为大量的网站都可能中招，而你访问的网站就在其中之一！

根据我看到的说法，黑客至少在一个月之前就找到了cpanel 的安全漏洞，也至少一个月之前就开始更改被侵入服务器的设置，并且在耐心的等待到微软 ie 中的安全漏洞被发现后，大规模发动攻击。这次中招的网站空间服务商，一向很有口碑，有很多人使用。这次应该有上万的网站被影响。好在他们的技术人员相当不错。在短时间内找到了问题根源所在，并在网络上公布了他们的发现，让cpanel及时得到报告，发布补丁，相信也直接导致微软提前发布了ie的补丁，让很多的服务商，很多的用户避免了一场灾难。

在这里提醒两点。一、尽快 update 你的 windows 操作系统。二、很可能还有相当数量的网站中招了还不知道，最近一段时间，为保险起见，上网时可以考虑多使用非ie的浏览器。

唉，保不定哪一天我们见面的招呼是，您还没中招吧。

• really？！