Twitter などが(自称)シリア電子軍の攻撃を受ける ― 2013年08月28日
今朝、Twitter の調子が悪くなった、という報告がちらほらありました。どうやら、シリア電子軍を名乗るグループが Twitter などの DNS を乗っ取った模様です。その件についての報道やツイートを時間順にまとめてみました。
以下、時刻表記は日本時間です。
2013-08-28 05:07 AM
Is it just me, or is http://t.co/K8g4o9SWFX down?
— matt blaze (@mattblaze) August 27, 2013
2013-08-28 05:18 AM
NYTimes DNS is compromised. Pointing to Syrian Electronic Army domain. http://t.co/wfJugHQ155 pic.twitter.com/Vhf35kuQAP
— Matt Johansen (@mattjay) August 27, 2013
2013-08-28 05:23 AM
The New York Times Web site is experiencing technical difficulties. We are working on fully restoring the site.
— The New York Times (@nytimes) August 27, 2013
NYTimes のウェブサイトに問題がある、とのツイート。
2013-08-28 05:33 AM
Syrian Electronic Army now hosting new domains on their IP. Domains belong to @NyTimes and @Twitter. pic.twitter.com/htv6TLAxJv
— Jaeson Schultz (@jaesonschultz) August 27, 2013
2013-08-28 05:55 AM
Hi @Twitter, look at your domain, its owned by #SEA :) http://t.co/ZMfpo1t3oG pic.twitter.com/ck7brWtUhK
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
2013-08-28 06:41 AM
Media is going down.... | http://t.co/Gd1zB70v0g | http://t.co/8NUe7Cs2jm | http://t.co/QDdNdEuuVX | http://t.co/W9nmxo95PQ
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
nytimes.com と http://huffingtonpost.co.uk も陥落した。
2013-08-28 06:55 AM
DNS 運用についてのメーリングリストに投稿が。
[dns-operations] Request To Clear Cache: NYTimes.com
ニュヨークタイムズのドメイン NYTimes.com がおかしなサイトに向けられてしまった。みんなのキャッシュサーバーをクリアしてくれないか?
なお、このメールは怪しい。変更された直後にキャッシュクリアするのは逆効果だ、という話があります。
NYTimes. com の人がDNSキャッシュクリアしてくれ! と言ってたのはレジストラへの攻撃によるものだったのか https://t.co/X7ggH6uhwM
— dais (@hdais) August 28, 2013
.@hdais そのメール、アヤシイですよね(本物かどうかという意味で)。確かにNYtimes .comがやられている状態でNYtimes .comなメールは出しにくいなどの事情は理解できますけど。
— Yasuhiro Morishita (@OrangeMorishita) August 28, 2013
@OrangeMorishita 確かに、NSレコード変更攻撃直後だったらクリアするのはむしろ逆効果ですね
— dais (@hdais) August 28, 2013
@hdais そうですね。その話は社内でも話しました。outages MLで騒ぎになった後で出たので、さすがに直後でもなかったようですが。
— Yasuhiro Morishita (@OrangeMorishita) August 28, 2013
2013-08-28 07:59 AM
Twitter からアナウンスが Twitter の公式ブログに出ます
2013-08-28 08:07 AM
nytco.com: Times Site Is Disrupted in Attack by Hackers
nytimes.com: Times Site Is Disrupted in Attack by Hackers
NYTimes からの状況を説明する声明記事が出ます。nytimes.com に問題があるので、nytco.com ドメインにて。レジストラであるオーストラリアの Melbourne IT が攻撃されたとあります。
Times website affected by external hacking attack http://t.co/ZsF4yKXmsj
— The New York Times (@nytimes) August 27, 2013
記事についての NYTimes からのツイートもありましたが、その後消されています。
2013-08-28 08:12 AM
So, do we host http://t.co/70wmrzHCqp with Javascript code so all Twitter users will be redirect to our website? #SEA
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
twimg.com に Javascript 仕込んでおいたので、すべてのツイッターユーザーは我々のサイトにリダイレクトされるよ?
Twitter のアイコンなどがおかしくなってたのはこれが原因です。
2013-08-28 09:34 AM
syrianelectronicarmy[.]com now sinkholed by their registrar. Certainly not the end of the story, just the end of a name server name.
— Frank Denis (@jedisct1) August 28, 2013
2013-08-28 10:06 AM
Melbourne It confirms it was compromised today, Syrian Electronic Army claims responsibility - pic.twitter.com/g4q10ejdxb
— Matthew Keys (@MatthewKeysLive) August 28, 2013
Melbourne IT の reseller の credentials (ユーザー名とパスワード) が使われ、それによって、その reseller が管理するドメインが乗っ取られた、という Melborune IT からのメールのスクリーンショット。
2013-08-28 10:49 AM
Hackers had Melbourne IT reseller credentials to attack NYT, Twitter
No sophisticated attack was required to attack The New York Times and Twitter, as hackers already had valid credentials to allow them to change DNS entries.
Melbourne IT の reseller account が取られた、という記事です。
2013-08-28 11:09 AM
Twitter, NyTimes, HuffingtonPost hacked - Melbourne IT server breach http://t.co/8Nkch2pGsa @Official_SEA16 #Security #EHN #SEA
— E Hacking News (@EHackerNews) August 28, 2013
E Hacking News に攻撃は Melbourne IT のサーバーがやられたことによるもの、という記事 (Melbourne IT Server hacked - Twitter, Nytimes, HuffingtonPost affected)が出ます。シリア電子軍への exclusive インタビューを元にしているのこと。このツイートをシリア電子軍のアカウント自身が RT しているので、おそらくはその主張どおりなのでしょうか。
2013-08-28 11:19 AM
@tss_ontap いい感じに変なもん食ってるフルリゾルバが手元に居ました http://t.co/KbfUwU9e7z
— Yusuke MURAMATSU (@muranet) August 28, 2013
nytimes.com の DNS が書き換えられてしまった様子。
なお、この記事を書いてる時点で私の手元ではこうなってます。たぶん正常な状態?
;; ANSWER SECTION: nytimes.com. 300 IN NS dns.sea1.nytimes.com. nytimes.com. 300 IN NS dns.ewr1.nytimes.com. ;; ADDITIONAL SECTION: dns.ewr1.nytimes.com. 300 IN A 170.149.168.134 dns.sea1.nytimes.com. 300 IN A 170.149.173.133
IP アドレスは nytimes 所有のネットワークになってます。
その後
さらに関連するツイートはこちらにまとまってます:
2013-08-28 22:31PM 更新
Melbourne IT のサイトがハックされました。
続 Twitter などが(自称)シリア電子軍の攻撃を受ける ― 2013年08月28日
Twitter などが(自称)シリア電子軍の攻撃を受けるの続きです。
Twitter や NYTimes の DNS が乗っ取られた件、レジストラである Melbourne IT が話題になりましたが、その Melbourne IT のサイトがハックされてます。
以下、日本時間
2013-08-28 10:09 PM
シリア電子軍を称するアカウントから、Melbourne IT がハックされた旨、ツイートされる。
Melbourne IT website hacked with a brief message | http://t.co/H1KOPgK5xx #SEA #SyrianElectronicArmy
— SyrianElectronicArmy (@Official_SEA16) August 28, 2013
2013-08-28 10:14 PM
気づいたのアクセスしてみました。
"Hacked by SEA, Your servers security is very weak" http://t.co/d4Fl4gXsdS
— Takayuki KUSANO (@tkusano) August 28, 2013
$ host www.melbourneit.com.au www.melbourneit.com.au has address 203.27.227.79 $ telnet 203.27.227.79 80 Trying 203.27.227.79... Connected to 203.27.227.79. Escape character is '^]'. GET /blog/ HTTP/1.1 Host: www.melbourneit.com.au Connection: close HTTP/1.1 200 OK Date: Wed, 28 Aug 2013 13:19:04 GMT Server: Apache X-Pingback: http://www.melbourneit.com.au/blog/xmlrpc.php Cache-Control: max-age=48000 Expires: Thu, 29 Aug 2013 02:39:04 GMT Vary: Accept-Encoding,User-Agent Content-Length: 49 Content-Type: text/html; charset=UTF-8 Connection: close Hacked by SEA, Your servers security is very weak Connection closed by foreign host. $ whois 203.27.227.79 % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '203.27.226.0 - 203.27.227.255' inetnum: 203.27.226.0 - 203.27.227.255 netname: MELBINFOTECH-AU descr: Melbourne Information Technologies Australia Pty Ltd descr: Level 2, 120 King St descr: Melbourne descr: VIC 3000 country: AU admin-c: ACM21-AP tech-c: HM155-AP remarks: ** Conversion note - reference 'ACM3-AU' changed to 'ACM21-AP' remarks: ** Conversion note - reference 'HM155-AU' changed to 'HM155-AP' remarks: Record imported from AUNIC as part of AUNIC->APNIC migration remarks: Please see http://www.apnic.net/db/aunic/ mnt-by: APNIC-HM status: ALLOCATED PORTABLE changed: nobody@aunic.net 19960530 changed: nobody@aunic.net 20000426 changed: aunic-transfer@apnic.net 20010525 changed: hm-changed@apnic.net 20041201 changed: hm-changed@apnic.net 20041214 source: APNIC person: Admin Contact Melbourne IT address: Melbourne IT Ltd address: Level 2, 120 King St address: Melbourne address: VIC 3000 country: AU phone: +61 3 8624 2400 phone: +61 3 8624 2499 e-mail: domain-admin@melbourneit.com.au nic-hdl: ACM21-AP remarks: This data originated from AUNIC, and was copied as part of remarks: the AUNIC to APNIC migration. http://www.apnic.net/db/aunic/ remarks: Original nic-hdl in AUNIC: ACM3-AU mnt-by: MAINT-AU-MELBIT changed: nobody@aunic.net 20000330 changed: nobody@aunic.net 20000330 changed: aunic-transfer@apnic.net 20010523 changed: hm-changed@apnic.net 20041201 source: APNIC changed: hm-changed@apnic.net 20111122 person: Hostmaster Melbourne IT address: Melbourne IT Ltd address: Level 2, 120 King St address: Melbourne address: VIC 3000 country: AU phone: +61 3 8624 2400 phone: +61 3 8624 2499 e-mail: hostmaster@melbourneit.com.au nic-hdl: HM155-AP remarks: Organisation Infrastructure Department remarks: This data originated from AUNIC, and was copied as part of remarks: the AUNIC to APNIC migration. http://www.apnic.net/db/aunic/ remarks: Original nic-hdl in AUNIC: HM155-AU mnt-by: MAINT-AU-MELBIT changed: nobody@aunic.net 20000330 changed: nobody@aunic.net 20000330 changed: aunic-transfer@apnic.net 20010523 changed: hm-changed@apnic.net 20041201 source: APNIC changed: hm-changed@apnic.net 20111122 % This query was served by the APNIC Whois Service version 1.68 (WHOIS2)
2013-08-28 10:17 PM
Melbourne IT website hacked with a brief message http://t.co/RQtsm9VXcR | #SEA #SyrianElectronicArmy
— Anonymous Press (@AnonymousPress) August 28, 2013
最近のコメント