2013-07-24 18:20 知道创宇 51CTO.com 我要评论(0) 字号：T | T
一键收藏，随时查看，分享好友！
近期，国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”，该组织从2012年7月12日至今，不断对中国政府网站进行攻击，目前已经有接近4000个中国政府网站被其入侵，并留下了黑页示威。
AD：2013云计算架构师峰会超低价抢票中
近期，国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”，该组织从2012年7月12日至今，不断对中国政府网站进行攻击，目前已经有接近4000个中国政府网站被其入侵，并留下了黑页示威。

据说拉丁文Barbaros是英文barbarian(野蛮人)的词源。而这个“Barbaros-DZ”的所作所为，也确实野蛮粗暴。

以下是“Barbaros-DZ”在zone-h.org提交被攻击的中国政府网站记录：

蛮族入侵!——追踪反华黑客Barbaros-dz

在百度和谷歌里搜索“Barbaros-DZ was here”，目前仍旧有大量的网站未被修复，黑页仍然可以访问。

蛮族入侵!——追踪反华黑客Barbaros-dz

根据搜索结果分析，目前遭遇Barbaros-DZ攻击的网站处于以下三种情况之一：

1、首页直接被篡改;

2、部分网站并没有真正意义上的被篡改，Barbaros-DZ仅仅是利用网站本身的漏洞得到了后台权限，利用后台的功能在网站中添加了一些挑衅的记录;

3、个别网站甚至连管理员权限都没有拿到，Barbaros-DZ仅是注册了一个帐号，在帐号公开信息部分中加入了挑衅中国政府的语句，如图：

蛮族入侵!——追踪反华黑客Barbaros-dz

图片截图于：aaaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3A6K6N6g2)9J5k6h3N6G2N6W2)9J5k6h3y4F1i4K6u0r3f1$3S2G2N6#2g2K6k6i4u0Q4x3X3g2S2M7%4m8Q4x3@1k6g2M7$3g2J5d9f1c8Q4x3@1b7I4i4K6t1$3e0r3W2K6N6q4c8&6M7r3g2Q4x3@1b7H3i4K6t1$3M7r3q4Y4k6g2)9K6c8o6M7`.

从这三种攻击手法可知，Barbaros-DZ针对性很强，甚至到了滥竽充数的地步，其手段也仅仅停留在挂黑页阶段。

关于Barbaros-DZ攻击中国网站，在国外新闻网也有相应的报道《Four Chinese Government Websites Hacked by Barbaros-DZ》(3b9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6%4y4Q4x3X3g2K6L8$3k6@1M7r3g2V1K9h3q4Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3c8X3!0#2M7W2)9J5k6p5y4Z5K9h3&6W2M7$3g2Q4x3X3c8s2L8%4k6W2M7X3&6E0k6h3&6@1i4K6u0V1g2$3g2T1M7$3W2@1k6i4y4Q4x3X3c8t1j5h3y4C8k6h3c8Q4x3X3c8T1P5g2)9J5k6p5u0S2M7X3u0S2M7X3!0K6i4K6u0V1c8q4A6Q4x3X3b7K6x3K6p5K6z5e0W2Q4x3X3g2K6K9s2c8E0L8q4)9J5z5b7`.`.

而以下的这篇报道中，则揭露了Barbaros-DZ攻击中国政府网站的原因：

“I'm attacking Chinese sites because they are corrupt. Look at them, they think that money is important in the world. That’s wrong. They don't understand what freedom and love is [important]”

“The Chinese country is a rich country, with much people, but much people only want much money”

同样，攻击者也公布了攻击手法：

“I use the LFI/RFI method to injecting, and then I upload my shell to deface the site”(我用了本地文件包含和远程文件包含漏洞，上传了我的webshell。)

加速乐安全团队根据黑页中的信息，对这起大规模攻击做了一次跟踪。在被黑的页面中，漂浮着一张阿尔及利亚国的国旗，从而也说明了攻击者所在国家。另外，黑页下方还列出了参与攻击的ID：

“Greetz: Bb0yH4cK3r_Dz | BOB_Dz | Dz Mafia | HTC 28 DZ | Kader11000Ked Ans | Smail002 | TiGER-M@TE | The-DarKKn!ght | x00t | yasMouh”。

在页面底部还留有一个Email：barbaros@live.ru。最后写了一句“To be continued...”嚣张地告诉我们，攻击还会持续。

起初我们认为“Barbaros-DZ”是一个团队(事实上很多报道中，Barbaros-DZ也被报道成黑客团队)，于是在列举的ID中，挑选了第一个ID——“Bb0yH4cK3r_Dz”做了调查。而后来却发现“Barbaros-DZ”不是一个组织名，而是一个人的ID。

首先找到的是Bb0yH4cK3r_Dz的Twitter帐号(c35K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1N6$3W2@1N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3b7X3t1H3P5f1R3@1j5@1D9K6M7W2)9#2k6V1c8*7i4K6t1&6i4@1g2r3i4@1u0o6i4K6W2m8

蛮族入侵!——追踪反华黑客Barbaros-dz

他发的推文中，粗鲁地说了一句“SLamAlykomi Am !-Bb0yH4cK3r_Dz-! , Am Algerian Muslim Hacker and i Want To Join Ur Group :D Fuck France”，表明了他对法国的厌恶。

并且他写过一些攻击脚本，这些脚本中留下了他的电子邮件。

利用这些信息，又找到他经常活跃在ffcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4D9j5X3!0J5j5h3q4I4i4K6u0W2j5$3!0E0i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1&6i4@1u0n7i4K6V1I4i4@1f1#2i4@1q4q4i4@1p5J5i4@1f1^5i4@1q4q4i4@1u0m8i4@1f1#2i4K6W2p5i4K6W2n7i4@1f1@1i4@1t1^5i4K6S2m8i4@1g2r3i4@1u0o6i4K6W2m8

蛮族入侵!——追踪反华黑客Barbaros-dz

而后又发现他攻击的一个网站(814K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3I4G2K9X3q4V1j5h3#2S2M7i4g2A6L8X3q4Q4x3X3g2U0L8$3#2Q4x3X3g2T1M7W2)9J5c8W2)9J5z5g2!0q4y4g2!0n7z5g2!0n7y4W2!0q4y4#2!0m8c8W2!0m8x3g2!0q4y4W2)9&6y4q4!0n7z5g2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5g2!0m8x3g2!0n7y4g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

这个黑页中，说明了这是一次有组织的攻击，来自于7d6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3W2K6i4K6u0V1M7$3g2U0i4K6u0W2L8%4u0Y4i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4@1u0n7i4K6V1I4i4@1f1#2i4@1q4q4i4@1p5J5i4@1f1%4i4@1u0n7i4K6R3@1i4@1f1%4i4@1u0n7i4K6R3%4i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1@1i4@1t1^5i4@1u0m8i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1&6i4K6W2m8i4K6S2r3i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1$3i4K6R3&6i4@1u0q4i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1%4i4@1u0n7i4K6R3@1i4@1f1%4i4@1u0n7i4K6R3%4i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1@1i4@1t1^5i4@1u0n7i4@1f1&6i4@1p5I4i4@1t1#2i4@1g2r3i4@1u0o6i4K6W2m8

蛮族入侵!——追踪反华黑客Barbaros-dz

经过对页面的翻译，确定该组织是一个信仰伊斯兰教的黑客组织，并且加入该组织的条件是要信仰伊斯兰教，而Bb0yH4cK3r_Dz正好是这里的成员，所以他可能是伊斯兰教教徒。

这个组织同时还有电话，以及服务，说明可能是一个营利性团队。

之后，又在另外一个黑客组织“h4x0rteam”(b43K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3R3@1P5o6m8J5N6r3g2S2L8g2)9J5k6h3N6G2i4K6u0W2M7X3!0Q4x3V1k6Q4x3U0W2Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0c8Q4b7V1u0Q4z5e0k6Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7f1k6Q4b7U0c8Q4c8e0k6Q4z5e0S2Q4z5p5g2Q4c8e0k6Q4b7f1c8Q4b7e0c8Q4c8e0c8Q4b7V1q4Q4b7V1q4Q4c8e0g2Q4z5e0m8Q4z5p5y4Q4c8e0k6Q4z5e0N6Q4b7U0k6Q4c8e0S2Q4b7V1q4Q4b7f1u0Q4c8e0g2Q4b7e0c8Q4z5o6c8Q4c8e0g2Q4b7e0c8Q4z5f1q4Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0W2Q4b7V1u0Q4z5e0q4Q4c8e0g2Q4b7f1g2Q4b7e0u0Q4c8e0N6Q4b7V1u0Q4z5o6c8Q4c8e0N6Q4b7V1u0Q4z5o6N6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

这个组织的网页列出了所有成员名单。在这个列表中，除了找到Bb0yH4cK3r_Dz，更值得注意的是他旁边的ID——Barbaros-DZ!这说明“Barbaros-DZ”很可能不是一个组织名，而是一个人的ID。

蛮族入侵!——追踪反华黑客Barbaros-dz

仔细看Bb0yH4cK3r_Dz和Barbaros-DZ这两个ID，他们共同点都以“_Dz”结尾，于是去掉这个后缀进行搜索，找到一个被黑的政府网站：dcaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4W2U0i4K6u0V1P5Y4S2Q4x3X3g2Y4L8%4k6Q4x3X3g2U0L8W2)9J5c8X3q4V1L8h3W2F1i4K6u0r3f1X3g2$3K9h3g2%4i4K6u0W2j5i4y4H3i4K6y4r3N6$3!0J5K9#2)9K6c8s2c8&6M7r3g2Q4x3U0k6A6k6q4)9K6c8o6p5&6z5q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7g2!0q4z5g2!0n7b7W2)9&6x3g2!0q4z5g2!0m8x3g2!0n7y4g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2!0m8x3q4)9^5y4#2!0q4z5g2!0m8x3W2)9&6z5q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4x3W2)9^5x3q4)9&6b7@1S2S2j5$3E0W2k6l9`.`. by BarbarOS”，而这个黑页是个人所为，再次说明了这个“Barbaros-DZ!”并非组织名，而是一个人的ID。接下来又在Wordpress里找到他注册的博客——30bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0S2M7X3u0S2M7X3!0K6k6s2A6Q4x3X3g2%4L8%4u0V1M7s2u0W2M7%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0W2Q4b7e0q4Q4b7V1q4Q4c8e0N6Q4z5f1c8Q4z5o6m8Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7V1q4Q4z5f1u0Q4c8e0N6Q4b7V1q4Q4b7V1k6Q4c8e0N6Q4b7U0c8Q4b7e0u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5k6Q4z5o6S2Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0c8Q4b7V1u0Q4z5e0k6Q4c8e0g2Q4z5p5k6Q4b7e0k6Q4c8e0g2Q4b7e0c8Q4z5e0k6Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0g2Q4z5p5c8Q4z5f1q4Q4c8e0g2Q4b7f1g2Q4b7e0u0Q4c8f1k6Q4b7V1y4Q4z5f1q4Z5N6s2c8H3i4K6y4m8i4K6u0r3i4K6u0r3j5X3q4J5j5X3q4J5L8%4y4Q4x3X3c8V1P5W2)9J5k6h3u0D9L8$3N6K6M7r3!0@1i4K6u0W2K9%4u0Q4x3V1k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

这个博客页面虽然和黑页差不多，但似乎不是一个黑页，并且在这个页面上有一个Facebook帐号，其地址为：8dbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6S2j5$3g2T1L8$3!0C8i4K6u0W2j5$3!0E0i4K6u0r3M7r3q4Y4k6i4y4Q4x3V1j5H3f1V1M7@1e0U0c8Q4x3X3c8t1y4p5y4w2x3#2u0Q4x3X3c8b7x3@1D9@1e0V1t1@1f1W2g2Q4x3V1j5@1x3U0x3#2y4e0x3I4y4e0M7$3z5o6p5$3x3U0p5`.

蛮族入侵!——追踪反华黑客Barbaros-dz

根据他的Facebook介绍，此人还创办了一个黑客网站：d93K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2K9$3q4F1j5X3q4J5N6h3y4&6j5X3g2J5N6r3g2S2L8g2)9J5k6i4m8Q4x3X3g2Z5N6q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2M7r3S2H3

在另外一个网站，又找到了一张照片，标题为“BaRBaRoSHaCKeR”(24aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4D9j5i4y4Q4x3X3g2T1L8r3!0Y4j5%4g2Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5i4u0T1j5i4u0G2M7#2)9J5k6r3S2S2j5$3E0W2M7W2)9J5c8U0p5I4x3K6M7K6y4g2)9J5z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2!0m8c8q4!0m8y4q4!0q4y4#2)9&6y4W2)9&6x3g2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7b7W2)9&6y4W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2)9^5y4g2!0m8y4#2!0q4y4#2)9^5z5g2)9^5y4#2!0q4c8W2!0n7b7#2)9&6b7b7`.`.

蛮族入侵!——追踪反华黑客Barbaros-dz

用这张照片和那个Facebook帐号的头像做对比，看上去还真有点相像：

蛮族入侵!——追踪反华黑客Barbaros-dz

根据这些信息，证明Barbaros就是那个不断用黑客行为挑衅中国的人。截至目前，zone-h.org上已有3700个左右被黑的中国网站被他提交，而实际上还有很多没有提交到zone-h.org上，并且攻击仍在继续中。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！