热血江湖官网被植木马
董师傅茶坊
在5月30日,董师傅接到很多读者的举报,说热血江湖官方网站被人安置了木马,同时他们的网络游戏账户也因此被盗。为此,董师傅展开了调查。
要说网络游戏账户被盗已经不是什么新鲜事了,从最早的“传奇”到现如今的“魔兽世界”,每一款流行的网络游戏成功的背后,都有很多用户曾经被盗号。我们知道,现在黑客用于盗取网络游戏账户最主要的方法,就是通过各种各样的木马程序来完成的。想要将这些木马程序种植到远程计算机中,最简便,同时也是最不为人所察觉的方法就是通过网页传播木马。
根据读者的举报,董师傅登录到“热血江湖”的官方网站(www.rxjh.com.cn),然后进入到 “每日封号”页面。董师傅首先查看了该网页的源代码,由于黑客在安置木马的时候需要运行“IFRAME”功能,所以搜索“IFRAME”这个关键词,很快就找到一个(图1)。
光有一个跳转命令并不能说明什么,于是董师傅在这个网页中查找新的线索。刷新网页后,在IE浏览器的状态栏中连续出现了多个和该网站不相关的网址,这些网址后面还跟随着一个电子信箱地址(图2),有的时候地址栏也会出现(图3)。这些信箱地址也并不是官方的客服信箱,而是一些126这样的免费信箱,这更加引起了董师傅的注意。通过对这段地址的认真分析发现,这些地址后面往往都包括一个用户名和密码,但这些用户名往往和信箱的用户名不相同。
随后董师傅向网络安全专家寻求技术支持,确认这就是黑客用于盗取“热血江湖”这款网络游戏账户的网页木马。地址后面的信箱地址就是黑客用于接收被盗的游戏账户信息的,因为现在的电子邮件服务商都使用了ESMTP技术,那些后面的用户名和密码就是用于发送邮件信息时使用的。
小知识:为了更有效地抑制垃圾邮件的泛滥,许多E-Mail服务商和ISP使用ESMTP的方式来作E-mail发送服务。ESMTP,英文全称是“Extended SMTP”,它与SMTP服务的区别仅仅是,使用SMTP发信不需要验证用户账户,而用ESMTP发信时,服务器会要求用户提供用户名和密码以便验证身份。验证之后的邮件发送过程与SMTP方式没有两样。
董师傅为了证实这位网络安全专家的判断,登录搜索引擎,以 “热血江湖木马”为关键词进行查找,很快就查找到多款可以用于盗取“热血江湖”游戏账户的木马程序。这些木马程序都支持空间、邮件两种发信模式,如果是通过空间进行发信的话(图4),则在网页上的表现形式和刚刚调查的情况一模一样。
在确认“热血江湖”这款网络游戏的官方网站确实存在网页木马后,董师傅立即以网络玩家的身份向网站的客服进行反映,可是董师傅反映了3次,甚至将截图也发给网站客服,但是得到的答复都一样:“网站没有问题,是你自己电脑的问题”。
“热血江湖”作为一家网络游戏的服务商,对于自己的官方网站被植入网页木马,不但不做认真的检测,得到存在木马的反馈后,也充耳不闻,假装不知道,这种做法对玩家极端不负责任。作为官方网站,本来是为玩家提供游戏服务、经验交流、以及问题反馈的地方,现在却“包庇”黑客,纵容这种无耻的盗号行为,对于广大的网络玩家以及网络用户来说,危害性是极其严重的。最终不但会损害广大玩家的切身利益,同样也会给运营商自己带来诸多的不良后果,最后必将搬起石头砸自己的脚。