ahmia.fi 創(chuàng)始人努爾米指出有人正在克隆并誘殺數(shù)百個暗網(wǎng)站點，同時還改寫了某些內(nèi)容。

“ahmia.fi”項目通過索引Tor網(wǎng)絡中出現(xiàn)的內(nèi)容來提供搜索引擎功能。努爾米注意到，存在異常數(shù)量的數(shù)百個其他暗網(wǎng)站點的克隆行為，包括DuckDuckGo 及他的ahmia.fi.

 “你好，前不久我意識到有一個Ahmia的克隆網(wǎng)站?，F(xiàn)在我意識到，有人確實在給所有的流行洋蔥網(wǎng)站生成類似的洋蔥域名，然后重新編寫里面的一些內(nèi)容。比如：

真正的Ahmia: http://msydqstlz2kzerdg.onion/search/?q=duckduckgo 

假的Ahmia: http://msydqjihosw2fsu3.onion/search/?q=duckduckgo 

仔細看他們的不同: 

真的DDG: http://3g2upl4pq6kufc4m.onion/ 

假的DDG: http://3g2up5afx6n5miu4.onion/  

看起來情況是這樣的：未知攻擊者試圖引導使用者訪問假網(wǎng)站。這些攻擊者管理很多與那些流行網(wǎng)站相似的克隆網(wǎng)址。這些網(wǎng)站實際上是真網(wǎng)站的代理網(wǎng)站。但是，這些網(wǎng)站作為中間攻擊人攻擊網(wǎng)站并且重新編寫其內(nèi)容。這些攻擊者可能是在搜集信息， 包括訪問者的用戶名和密碼。我進行過一些數(shù)據(jù)挖掘并且與Ahmia.fi比較，發(fā)現(xiàn)似乎至少有255個鏡像站點。看這個網(wǎng)址http://pastebin.com/iHPwhCeH” 。怒米爾將這個網(wǎng)址寫在Tor-Talk 郵件列表里。

D由于URL的結構，那些攻擊者很有意通過傳播合法暗網(wǎng)網(wǎng)址的假網(wǎng)站來誘導Tor的訪問者訪問那些假網(wǎng)站。沒有人能夠記住一個網(wǎng)站的URL，讓我們以DuckDuckGo的一次事件為例：

http://3g2upl4pq6kufc4m.onion/ (真網(wǎng)站)
http://3g2up5afx6n5miu4.onion/ (假網(wǎng)站)

努米爾認為，假暗網(wǎng)不只是真網(wǎng)站的簡單復制，而是為他們代理（至少是能夠后臺進入網(wǎng)站），這就使那些攻擊者能夠進行中間人攻擊，竊取敏感數(shù)據(jù)或者是輸入惡意代碼，這些代碼能夠使Tor使用者泄露信息。

用戶名為“garpamp”的用戶說，這已經(jīng)持續(xù)了好幾年。他稱Tor的退出節(jié)點被用來惡意修改list.onion網(wǎng)址。用戶“gargamp”稱，他已經(jīng)注意到那些退出節(jié)點被用來惡意修改一些常用網(wǎng)站的網(wǎng)頁。他確信，一個惡意退出節(jié)點的確被用來重寫努米爾張貼的網(wǎng)頁網(wǎng)址。

“我也注意到有節(jié)點在重寫基于clearnet的網(wǎng)址?！?/p>

[1]像****后面的******就是對pastebine網(wǎng)站的修改。185.77.129.189 dc914d754b27e1a0f196330bec599bc9d640f30c

羅杰丁格爾丁，Tor開發(fā)項目負責人，確認用戶“garpamp”發(fā)現(xiàn)的惡意退出節(jié)點現(xiàn)在已經(jīng)被標注“惡意節(jié)點”標志，這就意味著他們不能作為退出節(jié)點運行。

就現(xiàn)在而言，關于誰是假網(wǎng)站背后操作人，誰在用退出節(jié)點修改真網(wǎng)站的網(wǎng)址以及他們的行動動機，我們一無所知。

雷鋒網(wǎng)將為大家?guī)砗罄m(xù)報道。有關暗網(wǎng)可通過雷鋒網(wǎng)此前發(fā)布的《“暗網(wǎng)”江湖：另一個平行的互聯(lián)網(wǎng)世界》一文進行解。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。