搜索 社区服务 统计排行 帮助
  • 1812阅读
  • 18回复

[转贴]小心输入Gmail密码

楼层直达
级别: 风云使者
注册时间:
2003-04-03
在线时间:
21小时
发帖:
8173
— 本帖被 sakuraahn 执行锁定操作(2012-07-07) —
from 细节的力量 by xijie
作者:张磊 来源:http://www.blogkid.net/archives/2711.html

最近在使用gmail时,会遇到原本登录的情况下还会提示输入用户名密码的情况。感觉蹊跷就检查了一下页面源代码,果然是钓鱼行为。源码如下:



我用gmail都是直接点击Google工具栏的按钮,但在家里和公司的电脑都会被劫持,应该是运营商(两边的网络都是北京联通)做了手脚。另外,通过搜索ndns01.com域名的相关信息,找到了今年7月的一篇帖子。

解决方案:坚持使用https访问Gmail,而且坚持手动输入URL。

如果已经在这样的钓鱼页面输入过密码,建议立即修改密码,然后检查Gmail账户的过滤器设置,看看有无转发邮件到外部陌生邮箱的过滤器。





---------------
外一篇


如果你是用的是Firefox,并且使用默认的密码保存功能,在登录Gmail的时候,可能会发现有一条把密码保存到ndns01.com的提示。而之前你确定无误的输入了gmail的地址,如通常一般输入用户名密码登录。

此种攻击的方式和效果不详。可能会在历史记录中留下如下记录(不要点击!已经替换连接符号为全角):
HTTP://mail.google.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064zuzhuzzz-serverlogin.beij900.ndns01.com/web/gmail/Gmail

该网站在Google中留有如下记录(搜索 site:ndns01.com 即可;不要点击!已经替换连接符号为全角):
HTTP://login.yahoo.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064zuzhuzzz-serverlogin.jizhong900.ndns01.com/web/yahoo/Yahoo?url=index
说明其不仅攻击Gmail,起码也攻击过或者试图攻击过yahoo邮箱。
该页面目前是一个500错误页面,结果如下:
引用
HTTP Status 500 -

type Exception report

message

description The server encountered an internal error () that prevented it from fulfilling this request.

exception

java.net.SocketException: Connection reset
java.net.SocketInputStream.read(Unknown Source)
java.io.BufferedInputStream.fill(Unknown Source)
java.io.BufferedInputStream.read1(Unknown Source)
java.io.BufferedInputStream.read(Unknown Source)
sun.net.www.http.ChunkedInputStream.fastRead(Unknown Source)
sun.net.www.http.ChunkedInputStream.read(Unknown Source)
java.io.FilterInputStream.read(Unknown Source)
sun.net.www.protocol.http.HttpURLConnection$HttpInputStream.read(Unknown Source)
sun.nio.cs.StreamDecoder.readBytes(Unknown Source)
sun.nio.cs.StreamDecoder.implRead(Unknown Source)
sun.nio.cs.StreamDecoder.read(Unknown Source)
sun.nio.cs.StreamDecoder.read0(Unknown Source)
sun.nio.cs.StreamDecoder.read(Unknown Source)
java.io.InputStreamReader.read(Unknown Source)
com.run.web.yahoo.Yahoo.getLoginPage(Unknown Source)
com.run.web.yahoo.Yahoo.doGet(Unknown Source)
javax.servlet.http.HttpServlet.service(HttpServlet.java:617)
javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
com.run.filter.Restrict.doFilter(Unknown Source)
note The full stack trace of the root cause is available in the Apache Tomcat/6.0.18 logs.

Apache Tomcat/6.0.18

我们会将此状况通告相关公司。

附该域名2010年7月28日的whois信息:
引用
Domain Name: NDNS01.COM
Registrar: XIN NET TECHNOLOGY CORPORATION
Whois Server: whois.paycenter.com.cn
Referral URL: http://www.xinnet.com
Name Server: NS12.CDNCENTER.COM
Name Server: NS8.CDNCENTER.COM
Status: ok
Updated Date: 04-jul-2010
Creation Date: 31-may-2009
Expiration Date: 31-may-2012

>>> Last update of whois database: Wed, 28 Jul 2010 13:24:05 UTC <<<


Domain Name : ndns01.com
PunnyCode : ndns01.com
Creation Date : 2009-05-31 21:06:58
Updated Date : 2010-07-05 00:28:03
Expiration Date : 2012-05-31 21:06:54


Registrant:
Organization : gu long
Name : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043

Administrative Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com

Technical Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com

Billing Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com

[HiChina Format]
Domain Name ..................... ndns01.com
Registrant Name ................. gu long
Registrant Organization ......... gu long
Registrant Address .............. shijiazhuang
Registrant City ................. shijiazhuang
Registrant Province/State ....... hebei
Registrant Postal Code .......... 050043
Registrant Country Code ......... cn
Administrative Name ............. gu long
Administrative Organization ..... gu long
Administrative Address .......... shijiazhuang
Administrative City ............. shijiazhuang
Administrative Province/State ... hebei
Administrative Postal Code ...... 050043
Administrative Country Code ..... cn
Administrative Phone Number ..... 86-031-187935114
Administrative Fax .............. 86-031-187935116
Administrative Email ............ longcon@sina.com
Billing Name .................... gu long
Billing Organization ............ gu long
Billing Address ................. shijiazhuang
Billing City .................... shijiazhuang
Billing Province/State .......... hebei
Billing Postal Code ............. 050043
Billing Country Code ............ cn
Billing Phone Number ............ 86-031-187935114
Billing Fax ..................... 86-031-187935116
Billing Email ................... longcon@sina.com
Technical Name .................. gu long
Technical Organization .......... gu long
Technical Address ............... shijiazhuang
Technical City .................. shijiazhuang
Technical Province/State ........ hebei
Technical Postal Code ........... 050043
Technical Country Code .......... cn
Technical Phone Number .......... 86-031-187935114
Technical Fax ................... 86-031-187935116
Technical Email ................. longcon@sina.com


更新1:

看来表达得过于谨慎和含蓄了:

1、这个攻击与保存密码之类的无关;

2、虽然没有证据,但是很有可能是类似于http挟持一类的,可能与客户端没有关系;

3、据监测,该攻击可能采用了随机抽样发动的方式,所以短时间小样本是无法重现的。

如果以上成立,没有人是安全的。


更新2:

引用自: 木华 于 七月 28, 2010, 11:06:49 下午
可以查看一下这一份报告,3月份的时候赛门铁克发过预警
http://www.docin.com/p-54731979.html

看了一下,这次和报告里面的不太一样,不是钓鱼或者链接的方式。是在浏览器中直接输入gmail.com然后登录,登录后也是正常的gmail内容和地址。

由于https一般认为是安全的,没有透明的伪装方法,所以,最有可能的是在"http://gmail.com"被google转向为https的过程中出现的。
这里有个不负责任的推论:如果直接访问https的地址,应该就没有问题了。


-----------------------










别说我还真遇到过……正在上账户却莫名其妙需要验证了

级别: 精灵王
注册时间:
2008-01-30
在线时间:
64小时
发帖:
2105
只看该作者 1楼 发表于: 2010-08-07
不用Gmail……不过貌似很恐怖的样子

流量用完于是开天窗吧
级别: 侠客
注册时间:
2007-08-19
在线时间:
6小时
发帖:
602
只看该作者 2楼 发表于: 2010-08-07
又是GFW干的好事。
级别: 风云使者
注册时间:
2003-04-03
在线时间:
21小时
发帖:
8173
只看该作者 3楼 发表于: 2010-08-07
简单说,就是电信局往网页里面嵌入代码进行攻击……这事情可就可怕了……因为电信局是中立方和服务提供方

级别: 精灵王
注册时间:
2006-04-14
在线时间:
0小时
发帖:
2611
只看该作者 4楼 发表于: 2010-08-07
我都是opera直接保存密码登陆…
级别: 光明使者
注册时间:
2006-04-22
在线时间:
808小时
发帖:
9795
只看该作者 5楼 发表于: 2010-08-07
类似的情况遇到过,不过无需输入账号
在保存密码的前提下进入页面会出现一个已输入账号,提示输入密码的界面
下次出现去研究下代码看有没问题
级别: 风云使者
注册时间:
2006-06-26
在线时间:
2小时
发帖:
7467
只看该作者 6楼 发表于: 2010-08-07
[/han] 從ISP就開始套信息了

GOTHIC LOLITA MANIAC
赤と白の薔薇
级别: 光明使者
注册时间:
2006-06-14
在线时间:
444小时
发帖:
6445
只看该作者 7楼 发表于: 2010-08-07
难道是ZF授意ISP监视GMAIL的使用者么?
级别: 圣骑士
注册时间:
2002-11-28
在线时间:
64小时
发帖:
1776
只看该作者 8楼 发表于: 2010-08-07
我是收过一次警告说有异常IP登录过我的Gmail。。。。T_T

级别: 风云使者
注册时间:
2009-06-19
在线时间:
0小时
发帖:
9035
只看该作者 9楼 发表于: 2010-08-07
= =不会吧,怪不得最近明明记录的cookie不管用了,总是让我重新输入密码。。。。。


请不要灰心 你也会有人妒忌 你仰望到太高 贬低的只有自己
别荡失太早 旅游有太多胜地 你记住你发肤 会与你庆祝钻禧
lalala 慰藉自己 开心的东西要专心记起
lalala 爱护自己 是地上拾到的真理
写这高贵情书 用自言自语 助我的天书
自己都不爱 怎么相爱 怎么可给爱人好处
这千斤重情书 在夜阑尽处 如门前大树
没有他倚靠 归家也不必结语
请不要哀伤 我会当你是偶像 你要别人怜爱 请安装一个玉箱
做什么也好 别为着得到赞赏 你要强壮到底 再去替对方设想
级别: 风云使者
注册时间:
2006-04-27
在线时间:
1小时
发帖:
9650
只看该作者 10楼 发表于: 2010-08-07
古龙大侠233


 花 
http://ohanaya.cc
●主站一切暂停更新★红茶坊的日本游记图文(beta版)全部完成!!对一人游遍岛国的即时(?)报告感兴趣的人请按→这里←(※强烈 宝塚/樱大战/青涩宝贝/BJD偏差注意)★水色之旅期间后花园尽量坚持每天翻土●
级别: 光明使者
注册时间:
2006-04-22
在线时间:
808小时
发帖:
9795
只看该作者 11楼 发表于: 2010-08-07
引用
最初由 Aslant 发布
我是收过一次警告说有异常IP登录过我的Gmail。。。。T_T
怎样才算异常,我游走不定,登陆的ip经常都是不同地区的,而且有时也用国外vpn登陆过,都没给我发这种邮件
级别: 风云使者
注册时间:
2009-06-19
在线时间:
0小时
发帖:
9035
只看该作者 12楼 发表于: 2010-08-07
引用
最初由 soyou 发布
怎样才算异常,我游走不定,登陆的ip经常都是不同地区的,而且有时也用国外vpn登陆过,都没给我发这种邮件

查看历史登录记录,那些ip地址我也看不出名堂来。。。


请不要灰心 你也会有人妒忌 你仰望到太高 贬低的只有自己
别荡失太早 旅游有太多胜地 你记住你发肤 会与你庆祝钻禧
lalala 慰藉自己 开心的东西要专心记起
lalala 爱护自己 是地上拾到的真理
写这高贵情书 用自言自语 助我的天书
自己都不爱 怎么相爱 怎么可给爱人好处
这千斤重情书 在夜阑尽处 如门前大树
没有他倚靠 归家也不必结语
请不要哀伤 我会当你是偶像 你要别人怜爱 请安装一个玉箱
做什么也好 别为着得到赞赏 你要强壮到底 再去替对方设想
级别: 新手上路
注册时间:
2006-03-03
在线时间:
9小时
发帖:
662
只看该作者 13楼 发表于: 2010-08-07
随便吧,反正gmail没什么见不得人的东西。

级别: 光明使者
注册时间:
2004-11-11
在线时间:
346小时
发帖:
14165
只看该作者 14楼 发表于: 2010-08-07
随便吧,反正什么邮箱都是不安全的了

這是生日禮物