各位用戶及站長：

　　2009年1月(yue)8日 11 時 38 分(fen)，我(wo)們(men)接到部分(fen)站(zhan)長反(fan)映自己的(de)論(lun)壇(tan)突然無法進(jin)入(ru)，且(qie)頁(ye)面(mian)顯示(shi)有(you)“Hacked by ring04h, just for fun!”字樣(yang)。出于對廣(guang)大用戶(hu)的(de)負責(ze)，我(wo)們(men)立即組織技術(shu)人員對論(lun)壇(tan)程(cheng)序進(jin)行安全排查，而所有(you)排查結果(guo)均表明(ming)程(cheng)序無任何問題。與此(ci)同時，我(wo)們(men)注意到，站(zhan)點 customer.discuz.net 域名被(bei)劫持(chi)，指向一臺未知的(de)服務器(203.86.236.236)。

　　Customer 站(zhan)(zhan)點(dian)是 Discuz！用(yong)于發送(song)論壇(tan)補丁和安全補丁通知的(de)(de)緊急接口(kou)。黑客首先(xian)利用(yong) Discuz.net所屬的(de)(de)域名(ming)服務商的(de)(de)漏(lou)洞，登陸(lu)并修改了(le)customer 的(de)(de)域名(ming)地址，并事先(xian)寫好(hao)了(le)一段攻擊代碼存(cun)放在一臺(tai)服務器(qi)(qi)上。在此期(qi)間，若站(zhan)(zhan)長登陸(lu)進入論壇(tan)后臺(tai)首頁時(shi)，由于論壇(tan)通知服務器(qi)(qi)的(de)(de)域名(ming)被劫(jie)持到新服務器(qi)(qi)上，從而(er)使得攻擊代碼實現運行，并模(mo)仿站(zhan)(zhan)長的(de)(de)身(shen)份，提交并修改了(le)論壇(tan)的(de)(de)SEO設(she)置。從而(er)造成(cheng)論壇(tan)無法正(zheng)常訪問(wen)，形成(cheng)域名(ming)劫(jie)持不(bu)能訪問(wen)的(de)(de)現象。

　　對此，我(wo)們迅(xun)速聯系了(le)該域名(ming)服務商，盡快將域名(ming)的地址進(jin)行了(le)修正。中午(wu)12點15分(fen)，我(wo)們發布了(le)應急修正的解決方案(an)，從而避免了(le)域名(ming)劫(jie)持(chi)事件(jian)在更大范(fan)圍內擴散。

　　對使用Discuz!的(de)論壇而言，如(ru)果(guo)站長在該時間段內（約一個多小時內）訪(fang)(fang)問過(guo)后臺，將有可能(neng)導致域名(ming)劫持后臺被攻(gong)擊者(zhe)修改的(de)現象，并(bing)導致不(bu)能(neng)訪(fang)(fang)問并(bing)出現非(fei)法(fa)攻(gong)擊頁面的(de)字樣(yang)，但是，目前判定該攻(gong)擊不(bu)會涉及影響到論壇的(de)數據(ju)。

　　目前(qian)，涉及到(dao)被(bei)影響(xiang)的網站可選擇直接訪問(wen)后臺管理(li)程序 admincp.php，然后修改(gai)論壇的SEO設(she)置即可。 同時，官方(fang)論壇已經發(fa)布解決方(fang)案產品(pin)包。

　　域名是互聯網基礎服務，本次安全問題系由域名劫持造(zao)成，Discuz! 各版本軟(ruan)件代(dai)碼在安全上并無(wu)問題，故 Discuz! 官方除(chu)了發布恢復方法及恢復工具以外并沒(mei)有新的補丁發布。

　　對于(yu)此次事件，我們認為是一次嚴重的、惡(e)意的攻擊性行為，其(qi)行為已經超出了一個從(cong)事安(an)全(quan)技術的人員的道(dao)德范疇和職業操(cao)守。對此，我們保留了所有可能(neng)成為犯罪舉證(zheng)的日志等(deng)資(zi)料，并移(yi)送(song)司法部門進行處理(li)！

康盛(sheng)創想(xiang)　2009年1月(yue)8日(ri)