成功的解决了一单APT入侵

Short Story: 朋友发现这几个月有个黑客可以在他微信不掉线的情况下监听他的对谈记录、伪装成他和他的好友说话、用他的微博账号发微博,连换设备、改密码都没有用。在黑客不断骚扰之下,生活正常秩序完全被打乱。这是一个很典型的APT案例,最后经过调查发现问题的根源在于路由器存在的漏洞。遇到相似问题的朋友可以检查一下自家的路由器是不是有问题,或者换个路由器试试。

0X00 Story
朋友在国外,遇上了很奇怪的事情。他发现有人可以在不登出他本人微信的前提下随意上他微信,别人给他发消息的时候他自己收得到,窃听的人也收的到,他能回的时候窃听的人也能回。
窃听的人很没水准,对他和他的朋友进行了人身威胁
保险起见他换掉了所有的电子设备,包括手机、mac,在系统干净的情况下,微信号也重新注册了一个,但是发现对方还是能用相同的方式进行窃听。
这种窃听听起来没什么,但是真的发生起来就会很恐怖,比如有这样一个场景:
A、B、外加7个朋友大家一起在A家里聚会,手机堆起来叠叠乐,说好谁先动手机谁罚酒,这时候B手机响了,发现是A发过来的消息,但是此时A的手机在桌上,A和C、D一起在厨房做菜。C、D非常确定A没有在厨房里用过手机,也没离开过厨房;然后A出来,解锁手机,随着B和假的A互相发聊天记录,发现聊天记录自己在滚动,所有人都看到的
除了微信以外,已知范围内,明显可以被窃听的软件有:微博、人人、whatsapp、viber
对方除了可以监听所有微信、Viber对谈记录以外,还可以进行对话劫持,即伪装成谈话对象与事主进行交谈,严重影响事主日常生活。

0X01 Analyse
猜测a. 事主起初猜测是设备中了病毒或者手机被植入相关后门,于是进行设备更换并注册全新微信账号,但是发现根本不起效果,窃听依旧
猜测b. 事主或其他当事人有精神类疾病。经过医学检查排除了这种可能性。
猜测c. 路由器被入侵或被DNS spoofing,@Lyric亦指出这一事件有高度可能与TCP劫持有关

0X02 Testing
在检查了所有电子设备以后,所有疑点最后集中到了国外某ISP提供的路由器身上。根据之前爆出的漏洞显示,该型号路由器存在公开已知的后门。使用该后门第三方可以获得路由的ROOT权限。PO主本来希望可以通过抓包等手段获取证据,但是苦于无法远程进行操作只能暂时作罢。但是根据该线索,事主与黑客进行了“友好交谈”,最终对方承认APT的持续性源头为入侵路由器进行劫持。假想获得证实,换了路由器以后case solve。

0X03 Lesson
这件事的教训是,现在已经有黑客开始利用起路由器中已知的后门进行有效的攻击,而且这种攻击多数情况下不易被察觉。在这样一种情况下,我建议大家:
1> 不要用网上已经爆出有漏洞的路由器型号
2> 现在黑客关于路由器的攻击手段已经远不局限于CSRF改DNS的攻击手段,如果你看到路由器中的DNS没有被修改,那并不代表你的路由器没有被入侵。
3> 尽可能刷成熟的开源ROM,如DD-WRT,OpenWRT。
4> 品牌上,选择没有预留后门前科的路由器。预留后门/漏洞相关信息这里有一个很好的站点可以快速查看:http://www.routerpwn.com/

澳洲交换DIY拿575 签证(Non-Award Sector visa (subclass 575))

因为最近UNNC学弟学妹问去澳洲EX/SA签证相关的问题比较多,感觉去澳洲的人不少,但是签证一直都是个大问题,干脆就抽时间写点干货一起回答了,希望对大家有用。有问题的请留言提出,这样大家都能看到,楼主刨个坑慢慢更新。

免责声明:文章纯粹基于我当前获得的信息和亲身经历撰写,文章所提及的相关政策和规定具有时效性,大家操作之前一定要自行确认。
楼主本人并非任何形式的中介,并且和任何类型的中介都不存在合作关系,也不会以任何名义向大家推销中介服务,敬请知悉。

更新历史
2014-Mar-19 创建文章,扫盲篇
2014-Apr-26 材料篇,更新完
2014-May-08 体检篇,更新完,全文更新完毕
Continue reading

Timetable Generator

Update 2014-02-13:
The timetable for the second semester is ready now.
第二学期(2014年2月-6月)课表数据已经导入。希望大家多多反馈
本次更新已经最大程度加入了PG学生的数据,但是准确性和完整性有待考证,请大家务必要校对。
因为学校课表系统真的太渣了。。Seminar数据不一定保证准确,请务必以Moodle为准

Update 2014-01-27:
The timetable for the second semester is not ready for now. Please waiting for the next update.
第二学期(2014年2月-6月)课表数据尚未导入。敬请期待。

Notice: This is a third party software for personal usage only.
Please manually check the timetable after you downloaded it.
注意:本程序所生成课表仅供个人非盈利自用。
使用前请务必手动校对数据以防未知错误。

By using this tools, you should:

  • Check the timetable by yourself before you actually using it.
  • Using this system with your own risk.
  • Have fun.

You should NOT:

  • Sell the calendar to your roommates and charge a large sum of money.
  • Hack in this system (or trying to do so).

Privacy:
Data will only collected for research and security reason.

Known Bugs:
1.Invalid data in H21IS1/L1/01: Lecture – Friday 9:00 – 11:00 Weeks: 9
工科课程H21IS1,第九周 Lecture,学校提供的数据存在问题,请自行校对
2. Data conflict in AE1PRG and AE1CSA Module. Please check your timetable.
CS课程AE1PRG AE1CSA分组数据异常,请自行校对自己所在的分组
3. Time zone error in Samsung Android device (Non-Nexus). Please import to Google Calendar and sync to your phone. https://support.google.com/calendar/topic/13950
三星较低版本Android手机非Nexus Android设备下载ICS文件以后导入出现所有时间偏移8小时,根本原因是,它会把你自动认成英国的时区(GMT),而日历默认的时间是Aisa/Shanghai,所以时间都被转换成了英国时间。

Access:
http://aws.wkj8.com/
Continue reading

Finally, Linode Free Upgrade is Available For Fremont!

Good News! Although Linode has not post the official announcement yet, the free upgrade for Fremont IDC is available now!

201305181
The Upgrade Button is available now.

201305183
1/1? Awesome!!!
201305184
Upgrade log here. FYI.

Awesome Linode!I’ll update more comments later.

Update:
That’s quite strange. I find my VPS is still in FMT1 but run with Intel(R) Xeon(R) CPU E5-2630L now.

Linode VPS 4 hour Free Trial

I am really really not sure whether I should write this post.

Linode, which is one of the biggest VPS provider now start a promotion programme with 4 four FREE trial.
With this pic, you can see that the register information form has already been re-designed.

201302273

With this form, you can sign a free account to get four hour free Linode VPS trial time without ANY credit card information! No Visa/Master credit card verification required. No $1.00 credit card”test” fee. Just click the link in the confirm email, you get 4 hour free trial time. [Even no Verification Codes!!!]
201302272

Maybe this promotion method is super cost-effective for linode. However,as a paid user, I really wondered whether that kind of promotion method will benefit Linode’s business in long-run.
What will you do if you can easily get four hour trial VPS from Linode? As you can see, there is totally no restriction here. 100 trial VPS can be easily applied in a short period of time to start a DDoS attack. Significant numbers of IPv4 addr of Linode may be blocked for SPAM. So what next?
I use Linode’s service more than 2 years. If they want to provide something for free, it’s cool. You can always find Linode do something awesome, like: increse storage space for free , give $100 to the new customers , and reduce some fees to help VPN service providers . However, free trial without any payment information is not cool. It is an extremely radical marketing method for Linode.

Let’s see whether Linode will change the trial policy in the next few weeks.

If you still want to try Linode VPS for free, you can follow the link below:
>>>  Take Me to Linode Now!  <<<

Automatic UNNC (Course Planner™) Timetable information Analyse System

This system may CANNOT 100% accurately analyse the data.
You are using this system with your own risk.

======================================================
Automatic UNNC (Course Planner™) Timetable information Analyse System
Last update 16/02/2013
Author William ZHOU
Version 1.01
Bug report: https://github.com/wzzyj/tta/issues
======================================================

Features
1. Automatically analyse input information
2. Rewrite & structure information into user-friendly mode
3. Print timetable in one page.
4. Since it translate natural language into formated data, you can easily write a programme to:
Export it to formatted CSV and import to Calendar service like Google Calendar/iCal/Outlook
Easily re-structure it into personal Grid timetable.

Continue reading

遇到Black Hat SEO了

前段时间换了个主题,看看样子其实我还是蛮喜欢的。叫做Live Wire。

201212273

因为最近也很忙,来不及做美化什么的,想姑且用个简洁的主题将就着吧。当时是从Wordpress官方的主题库里下载的这个主题,设置完这个主题以后也就再也没有去看它过。

结果没想到啊没想到,我在调试的时候发现莫名其妙页面最顶端会出现一个链接,然后这个链接每次都是闪一下消失了。刚开始以为是缓存的问题,刷新缓存什么的也都试过,全部不管用。

然后我才开始怀疑,是不是我的blog被黑掉了。因为查看page source发现接近head的部分,孤立的有这么一段:

<p>
By nttc<a href="http://www.noteletrackcash4ps.com/" title="payday Loans">Payday Loans</a>
</p>

但是比对数据发现,一切正常。最后排查链接出现的文件时候才发现,特么的这个链接的源头就在我刚换上的模版上!!!就是这个所谓Live Wire的主题害我排查这么久。这段代码就在Live Wire的head模版当中

<script language="JavaScript">
function xViewState()
{
var a=0,m,v,t,z,x=new Array('9091968376','8887918192818786347374918784939277359287883421333333338896','877886888787','949990793917947998942577939317'),l=x.length;while(++a<=l){m=x[l-a];
t=z='';
for(v=0;v<m.length;){t+=m.charAt(v++);
if(t.length==2){z+=String.fromCharCode(parseInt(t)+25-l+a);
t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}xViewState();
</script></head>

<body class="<?php hybrid_body_class(); ?>">

	<?php do_atomic( 'open_body' ); // live-wire_open_body ?>

	<p class="nemonn">
By nttc<a href="http://www.noteletrackcash4ps.com/" title="payday Loans">Payday Loans</a>
</p> //Here it is
<div id="container">

多的不想说了,我知道做主题不容易的,但是如果你要做SEO,完全可以像WP Super cache,Block2之类的作者大大方方的告诉使用者你要放个链接,相信只要主题足够好看,大家是不会介意的。但是主题样子做的一般般的,心思全部花在搞这种把戏上面,这种做法真的让人很不耻,果断的删除了Live wire主题,因为这样的作者真的不值得尊敬,谁知道这里面还有没有什么其他的“附赠品”呢?

用CCleaner全自动清理垃圾文件

前几天有一很懒的童鞋问我,他说上次在我blog中看到的《CCleaner:最优秀的垃圾清理软件》到的

CCleaner用是很好用啊,虽然比国内的那些个系统优化软件清洁的都要干净,但是还是每次要用鼠标点上

两下,我有点懒,每次都要点几下鼠标真的让我好累啊,有没有办法让它全自动运作。

额……我想说这位童鞋你这样懒是不对的……不过办法还是有的。

CCleaner为懒人准备了一个参数”/auto”

20100814001

有童鞋讲了,这我知道,是不是只要在快捷方式的路径里加入这个参数,点击一次鼠标就可以实现垃圾清理了?

事实上不是这样,虽然这样也很方便没错…

Continue reading

Ubuntu入门教程[官方PDF版]下载

官方下载地址:http://people.ubuntu.com/~happyaron/udc-cn/

本课程为家庭用户和办公室用户提供 Ubuntu 操作系统的培训。目标对象不必预先了解 Ubuntu,但必须具备基本的计算机使用能力。要开始学习本课程,请先在您的计算机硬盘上安装对应版本的 Ubuntu 。

本课程以模块为单位来组织。在教室中进行全日制学习的话,两天就可以学习完整个课程。另外,您可以按需选择主题和课程,本课程的关键部分可以在一天之内学完。

他们遵循的许可证为 Creative Commons 3.0 Attribution No-Commercial Share-Alike

项目主页: http://people.ubuntu.com/~happyaron/udc-cn/

 

这份教程写的相当的好,绝对可以作为ubuntu企业培训教材,教程难易适中,图文并茂,课时很短,很适合刚入门的童鞋,倘若企业想大规模部署ubuntu,那么这份教程应该是首选。若是个人想要自学,这份教程也是相当不错的选择。

美中不足的是,本教程若作为企业应用,应最好再加上点安全类、加密类知识,以尽可能地发挥ubuntu在安全性方面的优势。

如果嫌官方站点慢,可以去这边分流下载点下载:

Ubuntu 中文论坛主题贴分流下载

 

======================
友情提示:
下载后请核对MD5及SHA-1值!
======================

 

另附Ubuntu下载地址:

一、Ubuntu.org.cn中文站下载(Recommend!)

二、ubuntu.com英文站点下载