网络不能无法无天!——和伪黑客搏斗的30小时 李想 2000年 第16期   2000年是全球Internet飞速发展的一年,同时,中国上网人数超过1000万,也给无数中国网络经营者带来了前所未有的好机会。在大家大谈电子商务、网站上市的同时,另一个让网络经营者头疼的“黑客”问题也成了2000年上半年最热门的字眼。   2月初,世界最大的几个站点Yahoo!、ebay等先后遭到了黑客的恶意攻击,当时我想,国外的黑客怎么会这样呀,纯破坏呀,这种事情不太可能发生在中国。可是我“天真的想法”错了。3月份变成了有史以来国内黑客事件最多的一个月,首先是国内最大的两个站点新浪、搜狐受到了类似Yahoo!等2月份所受的相同的攻击,然后就是IT163,随后EC123、当当书店也受到了攻击,黑其网站的不是别人,正是我们自己的黑客。更让我心痛的是,包括我们的网站在内的几个知名的个人站点,也难逃黑客的魔掌,先后受到攻击,而且手段之恶劣,让我们震怒。看看我们是如何被黑客持续攻击了一个多星期的吧,或者我们不应该称他们为黑客,这有损黑客的形象,他们就算是“伪黑客”吧。 #1  我们是个人站点   我们的站点是几个二十岁左右的年轻人组成的个人站点,因为看好网络的美好未来,也为了让自己的站点更好地发展,所以3月份我们几个凑钱,装了一台NT服务器,又交了托管费,有了自己的托管主机,对操作系统较为熟悉的成员Fan也就成了我们的网络管理员,同时注册了一个域名http://www.pcpop.com,准备大做一场。站点的内容是以硬件为主的小IT站点,由于其前身“显卡之家”就小有名气,又有了不错的数据库更新程序和论坛,所以站点很快便有了每日两三万的访问量,在3月的上半个月里,我们十分满意,服务器也没有出过任何问题。   3月16日,服务器第一次出现了问题,IIS4的WWW服务停止,没有什么服务器管理经验的我们就登录上了服务器,重新开始了IIS4的服务,然后就拼命地在硬件和安装的软件上找毛病。随后的日子里,WWW服务停止的问题一直困扰着我们,到了3月底,发生的频率大概为每天三四次,而且都是在白天,一般人正常工作的时间。我们询问了周围所有的朋友,均没有得到解决方案。   于是我开始浏览一些黑客站点,希望能够找到解决的方法,让我惊奇的事情出现了:在所看到的三个黑客站点中都发现了两个软件,运行它所造成的结果和我们服务器出现的现象一样:IIS4的WWW服务停止。更让我惊讶的是其版主对此软件是这样介绍的:“攻击NT的最佳工具,强烈推荐下载!”“强烈推荐下载”呀,几个访问量并不大的黑客站点,这两个软件的下载次数累计上千次,于是我也下载一份看看究竟。在解开压缩包后,发现了事情的严重性:这个软件使用起来比超级解霸还要方便,任何上网的人都会用,我就用软件尝试性攻击了自己的站点,成功!毫无疑问,我们的站点一直在被黑,但黑我们的不一定是黑客。我们赶快寻找解决方法,给SQL和NT都用上了最新版本的补丁,接下来的几天基本安稳了,一直到4月份。   由于黑客的攻击,3月底站点访问量明显下降,一些朋友和访问者也发现了站点的不正常。4月3日PCPOP.COM就满月了,所以在4月1日的更新中,我们也向网友们说明了被黑的事情已经基本解决,不会影响我们的更新,以及4月3日站点满月,站点内容将会更丰富和进行一些庆祝活动。事与愿违,4月3日的计划竟然成了我们的噩梦。 #1  30个小时的搏斗   4月3日中午13:00过后,我们的服务器管理员接到了朋友的电话,说PCPOP.COM又不能访问了,于是他登上了服务器,重新启动了IIS,可是这回情况不同了,没等他从服务器上下来,IIS的WWW服务又停止了。攻击者似乎是我们的“忠实访问者”,对我们很了解,就是不想让我们4月3日过好。平均5分钟到10分钟,就被攻击成功一次,于是我们的网管就没有从PC Anywhere上下来,不停地启动IIS4,攻击者也不停地攻击。我们已经没有任何办法了,我浏览国内的安全站点,并在微软的主页寻找办法。我们尝试了删除IMA.DLL以及只保留ASP脚本在内的所有办法,依然无效。下午17:00过后,我们已经启动了几十次,放弃了再次启动,停止了大概40分钟,我们执行了一下NETSTAT,看看有没有什么问题。这时异常情况出现了,在我们停止WWW服务40多分钟后,有个用户依然不停地向80端口发出请求(普通浏览用户在无法和站点连接的情况下是无法再向80端口发出请求的)。   我们查看日志,发现此IP的用户正好是从中午13:00前开始浏览我们站点的,此后的攻击基本可以肯定就是他进行的。   于是我们进一步跟踪,此计算机用户为XXR,IP为202.102.156.234,位于山东烟台,操作系统为Win98。跟踪到了用户名和操作系统,我们已经可以算是找到了攻击者。正和我们预料的一样,攻击者算不上黑客,可能是出于好奇的目的,但是其如此疯狂的攻击和造成破坏后果的行为来看,他已经构成了网络犯罪,所以,我称他为“伪黑客”。   由于发现了这名“伪黑客”的详细信息,我们现在只想让他停止攻击,18:00过后,我们又启动了WWW服务,并在首页做了一个醒目的跳出窗口,很委婉地让黑客停止攻击,可是这个窗口不但没让他停止,反而让他攻击得更加疯狂,同时又引来了更多的攻击,我们变得更被动。   我们没有任何办法,同时我们感觉单纯依靠自己已经无法停止这群无聊的“伪黑客”的攻击了,于是我们在4月4日下午把掌握的情况和证据交给了石家庄市公安局,回来后继续和“伪黑客”对抗。我们封了大部分攻击的IP,被攻下的几率也没有那么高了,网友基本可以正常浏览了。   到了4月4日晚,好友飞翔鸟硬件站的站长SUN到我们的论坛,问我们被黑的情况,他一个小时内也被相同的方法攻击了十几次,我们在共同寻找解决方法。可能是“伪黑客”也累了,随后,我们没有受到太多的攻击,虽然有,但是基本不能让服务停止。30个小时过去了,我们也累了,不得不去休息了,但是黑客的攻击依然没有丝毫的停止。   4月5日起床后,我发现站点的WWW服务又停止了,在ICQ上驱动之家的站长告诉我,驱动之家的WWW也莫名其妙地停止了,而且两台服务器在同一时间内停止,已经好几天了。不过由于驱动之家采用了多服务器多镜像,相比我们来说受到的损失较小。而我们的站点直到截稿为止,依然每天被“伪黑客”攻击着,有点没完没了的感觉,而且攻击手段没有任何改变,就是攻击WWW服务的80端口让IIS停止。我们的站点的收入就是我们生活的来源,我们绝对不能失去了或者让别人毁了这个站点!我们势必和“伪黑客”斗争到底! #1  伪黑客的行为和心态   他们不是黑客,他们没有高超的技术,只不过通过一些现成黑客软件和学到的一些小技巧来“做试验”。作为没有强大经济后盾的小网站,如果没有昂贵的防火墙来保护的话,对这种行为我们无能为力,“伪黑客”们有着足够的上网时间,只要他们人多,想黑掉那些小站点,小站点是没有办法的,但是站点小、经济实力不足并不注定我们必须受攻击,难道某人个子小、身体弱就要被别人打?也许会的,不过那是地痞流氓做的事情,“伪黑客”的行为就是如此。地痞流氓伤了人有公安机关以及相关法律来惩罚他们的罪行,网络上胡作非为难道就没有人来管?   黑客工具就像是一把枪,到了没有自控能力的人的手里就变成了凶器,让他们胡作非为。同时随着安全补丁的升级,黑客软件也跟着升级,我们防不胜防。   “伪黑客”们往往为自己攻击成功几个站点而沾沾自喜,向朋友们炫耀,甚至成群结队地联合攻击站点,自封为“XXX黑客组织”,殊不知自己的品德、技术和黑客相差甚远。对他们上网的空虚感我表示同情,对他们的对站点以及个人所造成的危害我表示愤慨。他们都很年轻,甚至未成年,不知不觉中就走上了犯罪道路! #1  网络需要加强法制建设   正是因为没有好的网络法制观念,才造成了这群人的胡作非为。在国家大力发展网络以及网络经济的同时,是不是更应该加强基础的网络法制建设?没有坚实的基础,“网络的楼房”盖得越高,危险越大。每个网民都有了好的网络法制观念,这种“伪黑客”的犯罪是不是会减少?   我们不知道自己的站点什么时候能够不再受攻击,也不知道“伪黑客”看到此文后是否会变得更疯狂,但是我们必须支撑下去!   我们想说:网络,绝对不能无法无天!