专家还原7·18私车额度拍卖遭攻击过程

　　初中学历嫌犯操控5000“肉鸡” 攻击前提交了最低价

　　犯罪嫌疑人

　　周某 22岁 “超级黑客”

　　浙江人，初中文化，住在嘉定区安亭一民宅内。

　　接受警方询问时的周某留短发，身着条纹短袖衬衫和短裤，神态自然。他的电脑中有多块大容量硬盘，硬盘中记录着部分他实施攻击的数据。

　　7月18日，他攻击拍卖系统，就是想要低价拍块上海本地牌。被抓时，仍在进行黑客攻击，企图通过攻击淘宝一家网店，以低价网购手机号。

　　案件还原

　　7月18日，犯罪嫌疑人周某操控5000台“肉鸡”，集体访问上海私车额度拍卖系统的服务器，由于每台“肉机”中潜伏了特殊软件，最终造成拍牌系统服务器上的访问量超过数十万台。当日形成的攻击流量有4到5G，攻击流量大大超过了允许的流量，造成了服务通道阻塞，拍牌网站由此被“刷爆”。

　　东方早报记者 单芸 杨洁 实习生 张小叶

　　前日，上海警方侦破了“7·18”私车额度拍卖系统遭攻击案，一位22岁的“超级黑客”在嘉定安亭民居中被捕。警方透露，被捕时黑客仍在攻击淘宝网一网店，试图低价购物，从中牟利。

　　互联网安全专家分析说，黑客采用的控制“肉鸡”攻击服务器的行为十分常见。

　　黑客其人

　　前日，上海警方正式宣布，经过22天的侦查，7月18日私车额度拍卖遭攻击案成功侦破，犯罪嫌疑人周某落网。周某参加当天的拍卖，为了能低价拍到私车额度，控制了5000多台“肉鸡”，也就是被木马病毒侵入控制的电脑，采取大流量拒绝服务。

　　通过对数据的分析，上海警方将犯罪嫌疑人所在地点确定在了上海市嘉定区安亭一民宅内。8月9日，警方将民宅内的犯罪嫌疑人周姓男子抓获。

　　犯罪嫌疑人周某，22岁，浙江人，初中文化，警方将其称为“超级黑客”。在警方提供的录像画面中，周某留着短发，身着条纹短袖衬衫和短裤，在接受询问时神态自然。警方在搜查他的住宅时，从他的电脑中搜出了多块大容量硬盘，硬盘中记录着部分他实施攻击的数据。

　　据周某交代，他今年5月购买了一辆轿车，并参加了7月18日的私车额度拍卖。他攻击拍卖系统的原因，就是想要低价拍得上海本地牌。

　　警方昨天透露了一个有趣的细节，周某被抓时，仍在进行黑客攻击，他企图通过攻击淘宝网的一家网店，以低价网购手机号。经过调查，周某以前实施过多次攻击，也曾为赚保护费攻击过网游私服。警方检查了周某电脑中一块大容量WesternDigital硬盘，发现周某手下有10多万“肉鸡”，一二十种木马病毒，攻击力十分强大。

　　目前，周某因涉嫌破坏计算机信息系统罪，被警方刑事拘留。

　　攻击分析

　　上海警方表示，7月18日上海私车额度拍卖系统遭受的是“分布式拒绝服务网络攻击”。瑞星公司信息安全工程师王占涛表示，这就是通常所说的“DDoS攻击”。DDoS的攻击方式有很多种。其中，通过控制大量“肉鸡”同时连接访问网站，造成网站无法处理瘫痪，是较常见的一种攻击形式。

　　王占涛介绍说，这种攻击和正常访问网站的方式本质上并没有什么不同，只是攻击的流量更大，导致瞬间访问量增加几十倍甚至上百倍。但因为瞬间访问量过大，所以这种攻击很容易导致网站瘫痪。

　　王占涛大致还原了“7·18”案件的攻击过程：犯罪嫌疑人操控5000台“肉鸡”，然后集体访问上海私车额度拍卖系统的服务器，由于每台“肉机”中潜伏了特殊软件，最终体现在拍卖系统服务器上的访问量不是数千台而是数十万台。

　　上海市公安局信安处处长陈超透露，当日形成的攻击流量有4G-5G，而当时负责拍卖的国拍公司网络通道流量只有1G，攻击流量大大超过了允许的流量，造成了服务通道阻塞。

　　“拍卖服务器无法承受这么巨大的访问量，拍牌网站由此被‘刷爆’，市民就无法再上网出价，而黑客在他自己发动攻击前，提交了一个最低价。”王占涛说。

　　侦破解读

　　侦破DDoS攻击，通常的做法是：调查攻击记录，根据其中的某几个“肉鸡”，来查出主控电脑。警方透露，侦破过程中警方发现，当日的攻击目标明确，选择时机准确，犯罪分子可能是采用了分步式拒绝服务攻击方式，通过对15个省市，几千台“肉鸡”的分析，警方将犯罪嫌疑人所在地点定位在嘉定区安亭一民宅内。

　　王占涛表示，这次针对私车额度拍卖系统的攻击，黑客有明确的攻击目标，掌握了准确的攻击时间，所以非常容易推断出，发动攻击的人，肯定是一个想要以最低价成功拍牌的人。通过排查那些最低价拍牌的人，也可以查到这个攻击者。

　　此外，黑客一旦启动“肉鸡”攻击，其服务器管理方肯定是在第一时间就能够监控到的。专家解释，某台服务器遭受攻击，甚至会出现整个机房的所有服务器可能出现“访问较慢”等问题，所以机房一定能在第一时间感受到。

　　最终，通过机房的数据和其他“肉鸡”数据的综合分析，加上排查拍牌者数据，警方最终锁定IP地址。

　　肉鸡来源

　　“肉鸡”从哪里来的呢？王占涛表示，任何一台电脑，只要上网浏览网页，就有可能沦为“肉鸡”。专家表示，比如，通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就沦为“肉鸡”。而黑客可以在“肉鸡”电脑毫无察觉的状况下，远程控制这台电脑。

　　每天，都有人专门收集“肉鸡”然后以几毛钱一“只”的价格出售。因为利益需要攻击的人，通过购买“肉鸡”，然后遥控这些“肉鸡”，就可以攻击目标服务器。王占涛表示，在很多搜索网站上，都能查到“卖肉鸡”的信息。肉鸡价格完全根据“市场行情”走，最便宜的时候，一台“肉鸡”不过一毛钱。

　　今年3月，瑞星公司就截获过一个黑客建立的肉鸡销售网站。登录这个网站，可以看出他们总共控制了多少台“肉鸡”，以及“肉鸡”的IP地址等详细数据。据瑞星安全专家分析，这就是黑客用来向“客户”销售“肉鸡”的网站，“客户”可以选择“肉鸡”的IP地址，然后按照台数和控制时间等条件付款，获得这些“肉鸡”的控制权。

　　瑞星安全专家建议，网民采取以下措施避免电脑沦为“肉鸡”：设置复杂系统管理员密码；关闭危险的端口和没有必要的服务；及时更新系统和第三方软件的漏洞；安装并及时升级杀毒软件和防火墙；经常检查系统日志、服务、注册表等相关项。

　　私车额度拍卖遭黑客攻击事件回顾

　　7月18日进行中的上海市7月私车额度拍卖突然被迫取消。国拍公司称，网络异常导致拍卖取消。

　　7月19日国拍公司宣布将延期一周重新拍卖

　　7月21日上海警方确认，私车额度拍卖期间有黑客对拍卖系统进行攻击，警方现已介入调查。

　　7月26日7月私车额度拍卖重拍，最低成交价32100元，较6月上升2100元。

　　8月9日涉嫌攻击拍卖系统的嫌疑人周某，被警方在上海嘉定区安亭一民宅内被逮捕。

　　名词解释

　　何为“肉鸡”？

　　“肉鸡”(肉机)：两种写法都有，一般写作“肉鸡”。

　　所谓电脑“肉鸡”，就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。“肉鸡”可以是各种系统，如win，linux，unix等，更可以是一家公司\企业\学校甚至是政府军队的服务器。

　　“肉鸡”一词，来源于很多不设防的电脑。这些电脑很容易被远程攻击者完全控制，因此成为别人砧板上的肉，别人想怎么吃就怎么吃，“肉鸡”一名由此而来。

　　黑客如何利用“肉鸡”牟利？

　　黑客直接控制一定数量的“肉鸡”，同时自动刷新访问某个网站，提升该网站的访问量、造成网站瘫痪，或者使某个网站服务器、防火墙瘫痪，国内很多游戏厂家就曾经受到过这种攻击，并被勒索。

　　黑客一旦控制了“肉鸡”，就可以很方便地从该电脑中盗取用户的隐私信息，如网银、网游、聊天工具等软件的账号密码，以及私人文档、照片等。黑客还可以控制摄像头，很多游戏玩家和下载狂人的电脑经常是24小时开机，如果摄像头没有拔掉，就会被黑客偷拍，进行网上公布、甚至敲诈勒索。黑客可以在“肉鸡”中安装大量的插件或流氓软件，疯狂点击或弹出广告，从广告主那里收获广告费，或者将“肉鸡”直接出卖给从事盗号或其他非法目的的人。