近期，国内云WAF提供商加速乐追踪了一个号称来自阿尔巴尼亚的骇客组织“Barbaros-DZ”，该组织从2012年7月12日至今，不断对中国政府网站进行攻击，目前已经有接近4000个中国政府网站被其入侵，并留下了黑页示威。

据说拉丁文Barbaros是英文barbarian（野蛮人）的词源。而这个“Barbaros-DZ”的所作所为，也确实野蛮粗暴。

以下是“Barbaros-DZ”在zone-h.org提交被攻击的中国政府网站记录：

在百度和谷歌里搜索“Barbaros-DZ was here”，目前仍旧有大量的网站未被修复，黑页仍然可以访问。

根据搜索结果分析，目前遭遇Barbaros-DZ攻击的网站处于以下三种情况之一：

1、首页直接被篡改；

2、部分网站并没有真正意义上的被篡改，Barbaros-DZ仅仅是利用网站本身的漏洞得到了后台权限，利用后台的功能在网站中添加了一些挑衅的记录；

3、个别网站甚至连管理员权限都没有拿到，Barbaros-DZ仅是注册了一个帐号，在帐号公开信息部分中加入了挑衅中国政府的语句，如图：

从这三种攻击手法可知，Barbaros-DZ针对性很强，甚至到了滥竽充数的地步，其手段也仅仅停留在挂黑页阶段。

关于Barbaros-DZ攻击中国网站，在国外新闻网也有相应的报道《Four Chinese Government Websites Hacked by Barbaros-DZ》（http://news.softpedia.com/news/Four-Chinese-Government-Websites-Hacked-by-Barbaros-DZ-331399.shtml）

而以下的这篇报道中，则揭露了Barbaros-DZ攻击中国政府网站的原因：

“I'm attacking Chinese sites because they are corrupt. Look at them, they think that money is important in the world. That’s wrong. They don't understand what freedom and love is [important]”

“The Chinese country is a rich country, with much people, but much people only want much money”

同样，攻击者也公布了攻击手法：

“I use the LFI/RFI method to injecting, and then I upload my shell to deface the site”（我用了本地文件包含和远程文件包含漏洞，上传了我的webshell。）

加速乐安全团队根据黑页中的信息，对这起大规模攻击做了一次跟踪。在被黑的页面中，漂浮着一张阿尔及利亚国的国旗，从而也说明了攻击者所在国家。另外，黑页下方还列出了参与攻击的ID：

“Greetz: Bb0yH4cK3r_Dz | BOB_Dz | Dz Mafia | HTC 28 DZ | Kader11000Ked Ans | Smail002 | TiGER-M@TE | The-DarKKn!ght | x00t | yasMouh”。

在页面底部还留有一个Email：barbaros@live.ru。最后写了一句“To be continued...”嚣张地告诉我们，攻击还会持续。

起初我们认为“Barbaros-DZ”是一个团队（事实上很多报道中，Barbaros-DZ也被报道成黑客团队），于是在列举的ID中，挑选了第一个ID——“Bb0yH4cK3r_Dz”做了调查。而后来却发现“Barbaros-DZ”不是一个组织名，而是一个人的ID。

首先找到的是Bb0yH4cK3r_Dz的Twitter帐号（https://twitter.com/Bb0yH4cK3r_Dz）：

他发的推文中，粗鲁地说了一句“SLamAlykomi Am !-Bb0yH4cK3r_Dz-! , Am Algerian Muslim Hacker and i Want To Join Ur Group :D Fuck France”，表明了他对法国的厌恶。

并且他写过一些攻击脚本，这些脚本中留下了他的电子邮件。

利用这些信息，又找到他经常活跃在www.alboraaq.com这个黑客论坛上：

而后又发现他攻击的一个网站（http://lojadamaquina.com.br/）并篡改了主页。

这个黑页中，说明了这是一次有组织的攻击，来自于www.is-sec.org的黑客组织所为。随后找到了该组织的主页：

经过对页面的翻译，确定该组织是一个信仰伊斯兰教的黑客组织，并且加入该组织的条件是要信仰伊斯兰教，而Bb0yH4cK3r_Dz正好是这里的成员，所以他可能是伊斯兰教教徒。

这个组织同时还有电话，以及服务，说明可能是一个营利性团队。

之后，又在另外一个黑客组织“h4x0rteam”（http://h4x0rteam.go.ro/）找到了他，说明此人同时身处多个黑客组织。

这个组织的网页列出了所有成员名单。在这个列表中，除了找到Bb0yH4cK3r_Dz，更值得注意的是他旁边的ID——Barbaros-DZ！这说明“Barbaros-DZ”很可能不是一个组织名，而是一个人的ID。

仔细看Bb0yH4cK3r_Dz和Barbaros-DZ这两个ID，他们共同点都以“_Dz”结尾，于是去掉这个后缀进行搜索，找到一个被黑的政府网站：http://www.yc-zx.gov.cn/admin/Review.asp?work=type&id=198。这个黑页的标题是“Hacked by BarbarOS”，而这个黑页是个人所为，再次说明了这个“Barbaros-DZ！”并非组织名，而是一个人的ID。接下来又在Wordpress里找到他注册的博客——http://barbarosdz.wordpress.com/。顺着这些线索，又找到他另外一个博客：http://barbaros-dz.blogspot.kr/。

这个博客页面虽然和黑页差不多，但似乎不是一个黑页，并且在这个页面上有一个Facebook帐号，其地址为：http://www.facebook.com/pages/0RG4N4-H4CK3R-P3K4NB4RU/423553157681621

根据他的Facebook介绍，此人还创办了一个黑客网站：http://pekanbarucyberteam.p.ht/index.php

在另外一个网站，又找到了一张照片，标题为“BaRBaRoSHaCKeR”（http://clas.blogcu.com/barbaros-hacker/113735），此疑是他的照片：

用这张照片和那个Facebook帐号的头像做对比，看上去还真有点相像：

根据这些信息，证明Barbaros就是那个不断用黑客行为挑衅中国的人。截至目前，zone-h.org上已有3700个左右被黑的中国网站被他提交，而实际上还有很多没有提交到zone-h.org上，并且攻击仍在继续中。