攜程被攻擊事件或許和MS15-034有關？

時間 2021-04-12

標籤 python git github windows 安全服務器微信工具網站雲計算欄目系統網絡简体版

原文原文鏈接

來自http://www.codefrom.com/paper/%E6%90%BA%E7%A8%8B%E8%A2%AB%E6%94%BB%E5%...python

背景
5月28日上午11:09，攜程網遭受不明攻擊致使官方網站及APP暫時沒法正常使用，攜程首頁掛出通知，建議用戶選擇藝龍旅行網。而今日下午17時許，藝龍網首頁也出現沒法訪問的狀況。
攜程官網癱瘓事件在28日引起滿城風雨，再次引起全部用戶對互聯網安全話題的討論。目前事件有了進一步進展，晚間11點左右，攜程公司員工在微信上表示，目前攜程官網、APP數據已經恢復正常。git

MS15-034github

來自 http://drops.wooyun.org/papers/5669windows

在4月的微軟補丁日，微軟經過標記爲「高危」的MS15-034補丁，修復了HTTP.SYS中一處遠程代碼漏洞CVE-2015-1635。據微軟公告（https://technet.microsoft.com/en-us/library/security/MS15-034）所稱，當存在該漏洞的HTTP服務器接收到精心構造的HTTP請求時，可能觸發遠程代碼在目標系統以系統權限執行。安全

這是對於服務器系統影響不小的安全漏洞，任何安裝了微軟IIS 6.0以上的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操做系統都受到這個漏洞的影響。服務器

從微軟的公告致謝來看，這個漏洞是由「Citrix Security Response Team」（美國思傑公司的安全響應團隊）發現，從網上公開的信息來看，Citrix公司是一家從事雲計算虛擬化、虛擬桌面和遠程接入技術領域的高科技企業。這也引起了Twitter上不少關於該漏洞是不是由針對Citrix公司的APT攻擊中發現的疑問，而就在微軟發佈補丁的不到12個小時內，便有匿名用戶在Pastebin網站上貼出了針對這個漏洞可用的概念驗證攻擊代碼，彷佛也印證了這一點。微信

攜程
而咱們知道攜程擁有大量的windows服務器，部署的也恰好是IIS，這不由讓人想起了MS15-034，是否存在「不明攻擊者」利用MS15-034的漏洞對攜程進行大面積的攻擊呢？工具

附上檢測工具網站

[root@localhost tools]# git clone https://github.com/zigoo0/MS15-034
[root@localhost MS15-034]# python http-sys.py --help

This is a test POC for:
MS15-034: HTTP.sys (IIS) DoS And Possible Remote Code Execution.
By Ebrahim Hegazy @Zigoo0 

[*] Enter the name of the list file: