GMTC 全球大前端技术大会(北京站)门票 9 折特惠中,点击立减 ¥480 了解详情
写点什么

雅虎确认被攻击,但不是由于 Shellshock

2014 年 10 月 09 日

Jonathan Hall 是安全公司 Future South Technologies 的高级工程师。在本周早些时候发布的一份报告中,他说黑客利用Shellshock Bug 攻击了雅虎的系统。 Shellshock 是 Bash 中一个严重的漏洞,允许黑客在未经授权的情况下以合法用户的身份执行代码和命令。 InfoQ 对此有过专门报道

ZDNet 报道,雅虎已经确认受到了攻击。但是,在 Hacker News 的一篇博文中,雅虎首席安全官Alex Stamos 反驳了Hall 的说法。据他说,在对受攻击情况进行了全面调查后,他们发现,服务器并没有受到Shellshock 的影响。他写道,攻击者上周末在雅虎的三台Sports API 服务器执行过恶意代码,用于寻找易受攻击的Shellshock 服务器。但他们突然改变了攻击方式,可能是为了绕过IDS/IDP 或者WAF 过滤器。而这一改变正好利用了Sports 团队正在使用的一个监控脚本中存在的命令行注入Bug。

同时,Alex 还指出,在受到攻击后,雅虎迅速隔离了这些服务器,而且受影响的服务器只是用于提供体育比赛的现场直播,并不存储用户数据。因此,目前没有证据表明有用户数据受到影响。与此同时,为了及时发现并处理未来可能出现的问题,他们已经将攻击模式添加到CI/CD 代码扫描器中。

此外,Hall 声称曾多次尝试联系过雅虎,但没有得到回应。Stamos 否认了他的这一说法。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2014 年 10 月 09 日 03:36857
用户头像

发布了 1008 篇内容, 共 315.1 次阅读, 收获喜欢 284 次。

关注

评论

发布
暂无评论
发现更多内容

工作10年,面试超过500人想进阿里的同学,总结出的108道Java面试题

Java成神之路

Java 程序员 架构 面试 编程语言

智能量化对冲搬砖套利交易软件APP系统开发

开發I852946OIIO

系统开发

物流快递公司APP架构设计

jorden wang

从CPU到XPU进化,英特尔对业界放了什么大招?

intel001

在数据分析、挖掘方面,有哪些ETL工具值得推荐?

会飞的鱼

大数据处理 kettle 海豚调度 批量任务 ETL

初识ClickHouse——安装与入门

Simon

Clickhouse

面试阿里Java岗,技术总监真正关心的核心能力是什么?

Java架构追梦

Java 编程 架构

2020最新拼多多Java面试题(现场五面),全面涵盖Java高级到高并发

Java成神之路

Java 程序员 架构 面试 编程语言

极客训练营知识点思维导图

jorden wang

2021年,字节/百度/阿里相继发布50W+优质Java岗(含内部面试真题及答案)

996小迁

Java 程序员 架构 面试d 面试大厂真题

矿机挖矿APP系统模式开发平台

v16629866266

蚂蚁Java三面:二叉树+HTTPS加密+自旋锁+缓存穿透(送答案)

Java成神之路

Java 程序员 架构 面试 编程语言

Nginx 的负载均衡模式有哪些?它的实现原理是什么?

码农架构

nginx 架构 微服务

GitHub标星150K的神仙笔记,3个月肝完成功面进美团定级3-2

Java架构之路

Java 程序员 架构 面试 编程语言

PHP转JAVA开发30分钟实战攻略

dothetrick

Java php

iOS性能优化 — 五、App启动优化

iOSer

ios 性能优化 性能分析

Soul 网关源码阅读(四)Dubbo请求概览

Java 源码阅读 网关

百度面试被算法血虐,闭关29天肝完445页算法神仙笔记成功入职字节跳动!

Java架构之路

Java 程序员 架构 面试 编程语言

Spring的@Import 注解的作用与用法

程序员小毕

Java spring 源码 架构 注解

阿里开发10年技术核心总结,Springboot+Redis文档,送给努力上进的程序员

Java成神之路

Java 程序员 架构 面试 编程语言

刚参加完阿里P6面试归来(Offer已斩获),6点面试经验总结

Java成神之路

Java 程序员 架构 面试 编程语言

安卓开发实战!闭关在家37天“吃透”这份345页PDF,成功定级腾讯T3-2

欢喜学安卓

android 程序员 面试 移动开发

特斯拉自建ERP的背后

明道云

Soul 网关源码阅读(二)代码初步运行

Java 源码阅读 网关

Soul 网关源码阅读(三)请求处理概览

Java 源码阅读 网关

解读容器的 2020:寻找云原生的下一站

阿里巴巴云原生

Docker 云计算 Serverless 容器 云原生

Java 程序经验小结:剖析@SuppressWarinings注解

后台技术汇

28天写作

架构师训练营第十三周笔记

李日盛

笔记

训练营第十三周作业

大脸猫

华云大咖说|企业混合云构建之道

华云数据

云计算 桌面云

Soul 网关源码阅读(一) 概览

Java 源码阅读 网关

DIY 的 Kubernetes 集群的稳定性保障实践

DIY 的 Kubernetes 集群的稳定性保障实践

雅虎确认被攻击,但不是由于Shellshock-InfoQ