Twitter などが(自称)シリア電子軍の攻撃を受ける2013年08月28日

今朝、Twitter の調子が悪くなった、という報告がちらほらありました。どうやら、シリア電子軍を名乗るグループが Twitter などの DNS を乗っ取った模様です。その件についての報道やツイートを時間順にまとめてみました。

以下、時刻表記は日本時間です。

2013-08-28 05:07 AM

2013-08-28 05:18 AM

2013-08-28 05:23 AM

NYTimes のウェブサイトに問題がある、とのツイート。

2013-08-28 05:33 AM

2013-08-28 05:55 AM

やあ @Twitter、ドメインを見てみろ。我々の手に落ちたよ。

2013-08-28 06:41 AM

nytimes.com と http://huffingtonpost.co.uk も陥落した。

2013-08-28 06:55 AM

DNS 運用についてのメーリングリストに投稿が。

[dns-operations] Request To Clear Cache: NYTimes.com

ニュヨークタイムズのドメイン NYTimes.com がおかしなサイトに向けられてしまった。みんなのキャッシュサーバーをクリアしてくれないか?

なお、このメールは怪しい。変更された直後にキャッシュクリアするのは逆効果だ、という話があります。

2013-08-28 07:59 AM

Twitter からアナウンスが Twitter の公式ブログに出ます

twitter service issue

2013-08-28 08:07 AM

nytco.com: Times Site Is Disrupted in Attack by Hackers

nytimes.com: Times Site Is Disrupted in Attack by Hackers

NYTimes からの状況を説明する声明記事が出ます。nytimes.com に問題があるので、nytco.com ドメインにて。レジストラであるオーストラリアの Melbourne IT が攻撃されたとあります。

記事についての NYTimes からのツイートもありましたが、その後消されています。

2013-08-28 08:12 AM

twimg.com に Javascript 仕込んでおいたので、すべてのツイッターユーザーは我々のサイトにリダイレクトされるよ?

Twitter のアイコンなどがおかしくなってたのはこれが原因です。

2013-08-28 09:34 AM

2013-08-28 10:06 AM

Melbourne IT の reseller の credentials (ユーザー名とパスワード) が使われ、それによって、その reseller が管理するドメインが乗っ取られた、という Melborune IT からのメールのスクリーンショット。

2013-08-28 10:49 AM

Hackers had Melbourne IT reseller credentials to attack NYT, Twitter

No sophisticated attack was required to attack The New York Times and Twitter, as hackers already had valid credentials to allow them to change DNS entries.

Melbourne IT の reseller account が取られた、という記事です。

2013-08-28 11:09 AM

E Hacking News に攻撃は Melbourne IT のサーバーがやられたことによるもの、という記事 (Melbourne IT Server hacked - Twitter, Nytimes, HuffingtonPost affected)が出ます。シリア電子軍への exclusive インタビューを元にしているのこと。このツイートをシリア電子軍のアカウント自身が RT しているので、おそらくはその主張どおりなのでしょうか。

2013-08-28 11:19 AM

nytimes.com の DNS が書き換えられてしまった様子

なお、この記事を書いてる時点で私の手元ではこうなってます。たぶん正常な状態?

;; ANSWER SECTION:
nytimes.com.		300	IN	NS	dns.sea1.nytimes.com.
nytimes.com.		300	IN	NS	dns.ewr1.nytimes.com.

;; ADDITIONAL SECTION:
dns.ewr1.nytimes.com.	300	IN	A	170.149.168.134
dns.sea1.nytimes.com.	300	IN	A	170.149.173.133

IP アドレスは nytimes 所有のネットワークになってます。

その後

さらに関連するツイートはこちらにまとまってます:

2013-08-28 22:31PM 更新

Melbourne IT のサイトがハックされました。

続 Twitter などが(自称)シリア電子軍の攻撃を受ける

続 Twitter などが(自称)シリア電子軍の攻撃を受ける2013年08月28日

Twitter などが(自称)シリア電子軍の攻撃を受けるの続きです。

Twitter や NYTimes の DNS が乗っ取られた件、レジストラである Melbourne IT が話題になりましたが、その Melbourne IT のサイトがハックされてます。

以下、日本時間

2013-08-28 10:09 PM

シリア電子軍を称するアカウントから、Melbourne IT がハックされた旨、ツイートされる。

2013-08-28 10:14 PM

気づいたのアクセスしてみました。

$ host www.melbourneit.com.au
www.melbourneit.com.au has address 203.27.227.79
 
$ telnet 203.27.227.79 80
Trying 203.27.227.79...
Connected to 203.27.227.79.
Escape character is '^]'.
GET /blog/ HTTP/1.1
Host: www.melbourneit.com.au
Connection: close
 
HTTP/1.1 200 OK
Date: Wed, 28 Aug 2013 13:19:04 GMT
Server: Apache
X-Pingback: http://www.melbourneit.com.au/blog/xmlrpc.php
Cache-Control: max-age=48000
Expires: Thu, 29 Aug 2013 02:39:04 GMT
Vary: Accept-Encoding,User-Agent
Content-Length: 49
Content-Type: text/html; charset=UTF-8
Connection: close
 
Hacked by SEA, Your servers security is very weak
 
Connection closed by foreign host.
 
$ whois 203.27.227.79
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
 
% Information related to '203.27.226.0 - 203.27.227.255'
 
inetnum:        203.27.226.0 - 203.27.227.255
netname:        MELBINFOTECH-AU
descr:          Melbourne Information Technologies Australia Pty Ltd
descr:          Level 2, 120 King St
descr:          Melbourne
descr:          VIC  3000
country:        AU
admin-c:        ACM21-AP
tech-c:         HM155-AP
remarks:        ** Conversion note - reference 'ACM3-AU' changed to 'ACM21-AP'
remarks:        ** Conversion note - reference 'HM155-AU' changed to 'HM155-AP'
remarks:        Record imported from AUNIC as part of AUNIC->APNIC migration
remarks:        Please see http://www.apnic.net/db/aunic/
mnt-by:         APNIC-HM
status:         ALLOCATED PORTABLE
changed:        nobody@aunic.net 19960530
changed:        nobody@aunic.net 20000426
changed:        aunic-transfer@apnic.net 20010525
changed:        hm-changed@apnic.net 20041201
changed:        hm-changed@apnic.net 20041214
source:         APNIC
 
person:         Admin Contact Melbourne IT
address:        Melbourne IT Ltd
address:        Level 2, 120 King St
address:        Melbourne
address:        VIC 3000
country:        AU
phone:          +61 3 8624 2400
phone:          +61 3 8624 2499
e-mail:         domain-admin@melbourneit.com.au
nic-hdl:        ACM21-AP
remarks:        This data originated from AUNIC, and was copied as part of
remarks:        the AUNIC to APNIC migration.  http://www.apnic.net/db/aunic/
remarks:        Original nic-hdl in AUNIC: ACM3-AU
mnt-by:         MAINT-AU-MELBIT
changed:        nobody@aunic.net 20000330
changed:        nobody@aunic.net 20000330
changed:        aunic-transfer@apnic.net 20010523
changed:        hm-changed@apnic.net 20041201
source:         APNIC
changed:        hm-changed@apnic.net 20111122
 
person:         Hostmaster Melbourne IT
address:        Melbourne IT Ltd
address:        Level 2, 120 King St
address:        Melbourne
address:        VIC 3000
country:        AU
phone:          +61 3 8624 2400
phone:          +61 3 8624 2499
e-mail:         hostmaster@melbourneit.com.au
nic-hdl:        HM155-AP
remarks:        Organisation Infrastructure Department
remarks:        This data originated from AUNIC, and was copied as part of
remarks:        the AUNIC to APNIC migration.  http://www.apnic.net/db/aunic/
remarks:        Original nic-hdl in AUNIC: HM155-AU
mnt-by:         MAINT-AU-MELBIT
changed:        nobody@aunic.net 20000330
changed:        nobody@aunic.net 20000330
changed:        aunic-transfer@apnic.net 20010523
changed:        hm-changed@apnic.net 20041201
source:         APNIC
changed:        hm-changed@apnic.net 20111122
 
% This query was served by the APNIC Whois Service version 1.68 (WHOIS2)

2013-08-28 10:17 PM

<< 2013/08 >>
01 02 03
04 05 06 07 08 09 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

RSS