追溯抓雞黑客的奇妙之旅

新聞 07-21

高高興興的聽著音樂，成都成都。。。然後，客戶電話來了。

客戶說，網站被入侵，他們的技術人員發現網站上已經有WebShell、bat文件、exe文件等，確認系統被入侵，（我就想問你懂技術你找我幹啥？）。同時已經排查出了入侵方式為通過Struts2漏洞進行入侵。

那麼問題來了，客戶聯繫的我，你說我能不進行排查，不然客戶會投訴我的，但是，我是說但是，這個客戶太奇葩了，不提供IP地址、不提供域名、啥都不提供，你讓我咋分析，對著你空講你的伺服器被入侵了？讓你刪這刪那？不現實么，只能說也是奇葩客戶。

沒有IP、沒有域名，所以沒得玩兒，過了一會兒客戶發過來了一個exe文件，exe名字為AIlimama.exe(有意思),然後發了一張圖片，從這幅圖中明顯可以看出來這是騷雞黑客的行為。所以就虛擬機運行了一下AIlimama.exe，接著就發現ailimama連接了115.28.*.*的79埠，然後幹啥？客戶也不給東西，閑著也沒事，就開始擼擼黑客的伺服器！

nmap掃了一波，發現開了很多埠，還有web，mysql，ftp，然後我就哈哈哈哈了，初步懷疑能搞，然後直接上手開搞。

開放埠列表：

先看看web上都跑了些啥，80跑了一個網站，8080跑了HFS，看到HFS我就笑了，只能說這是個大黑闊，沒事就抓雞玩兒，工具挺全的。

既然有登錄，那麼就不能幹看著，手工試了一試，測測有沒注入、弱口令啊，最後發現也沒弱口令，也沒注入，頓時不開心了，難道這個黑客很牛逼？

算了吧，來個更沒有技術含量的東西，打開WVS，來掃一波，萬一有啥好玩的玩意呢，來杯coffee休息休息，等等它。

過了一會兒，發現掃描完成了，打開看了一下，發現了一些好東西，其中有www.rar、db.php、test.php、abc.php，哈哈，這些都是我喜歡的， www.rar一般都是網站的備份文件，然後打開了orbit開始下載，然後，神奇的事情發生了，這傻逼文件竟然四十幾個G，媽的這下載到啥時候去了。

算了，還是看看db.php吧，打開發現是個資料庫連接測試頁面，輸入資料庫密碼，然後點擊測試即可，隨手試了幾個弱口令，發現不對。祭出神器BurpSuite，抓包，xxx，xxx，打開自己收集的黑客字典，裡面可是有幾年來收集的黑客的密碼哦，加上其他密碼，幾十萬個，然後讓他慢慢爆破吧。

資料庫連接測試界面是這個樣子的：

爆破工作讓他進行著，然後再來看看其他的，test.php是個phpinfo頁面，收集了一波信息，abc.php是個空白頁面，不管了，直接爆破一下abc.php，假裝他是個一句話，用了某大牛寫的一句話爆破工具，繼續祭出字典，開始爆破，哈哈，越來越有意思了。

然後讓他跑著，出去吃個飯，游個泳，回來估計就有戲了。

幾小時後，我回來了，發現沒爆破出來，root密碼爆破出來了，可能的webshell沒爆破出來。

趕快打開navicate連接試試，萬一mysql拒絕遠程連接，那不是沒多大用處了，測試連接後發現連接成功。

前有phpinfo頁面，現在又有mysql的root許可權，想都不用想，趕快getshell，使用mysql的into outfile成功導出一個webshell，然後菜刀連接之。

通過菜刀執行命令後提示：執行命令失敗，可能遠程啟用了安全模式!，那麼就先不執行了，先看看伺服器文件，隨後就發現了黑客的用戶，而且可以看他的桌面哦，同時也看到了Ailimam.exe文件，感覺都不用提權了，看看文件就行了。

翻翻桌面，發現了黑客搞了一堆Struts2，哈哈，還有菜刀，菜刀中還有shell，趕快謝一下大黑闊。

最開始知道了黑客監聽的是79埠，肯定是木馬上線的埠，現在我們就找一找遠控，翻著翻著目錄發現了亂柒遠程控制軟體，打開配置文件看了下發現了大黑闊的伺服器密碼，明文卸載了遠控軟體配置文件中。。。唉（都不用提權了）！

發現有481台主機，誒呀，嚇死了。。。從來沒有見過這麼多的肉雞，上線時間最長的都已經有四十多天了，看來這黑闊那這台伺服器幹了不少事兒啊，然後一不小心又點開了個遠控，發現呼呼呼的上線了85台，總共就是566台機子啊，打DDOS不敢想。

走了一下被控主機統計，如下圖，其中北京和浙江最多，而且大部分都是阿里雲的。

然後做點啥操作？找找這個黑客真實信息玩玩？

黑客上了伺服器後每次退出都是清除了日誌的，然後傳了一個執行命令的腳本上去，監控了幾天後發現了黑客終於連接了，趕快看了一下埠連接狀態，成功抓到了黑客的來源IP，黑客的來源IP為114.55.*.*，看了一下此站點為某黑七平台，然後試了一下3389密碼，使用遠控中發現的密碼成功登錄了，在伺服器中發現了這個伺服器被黑客做了一個openvpn，然後黑客撥vpn遠程連接上線控制端。在對黑七伺服器進行檢查時發現黑客並未刪除openvpn的連接日誌等信息，可以進行溯源，同時伺服器上還有黑客安裝的百度雲網盤，留存有用戶名。

以下是黑七網站的截圖：

最後通過種種信息定位到了黑客的地址：

接下來的事情就不應該我來做了，黑客，小心了。。。。哈哈哈

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

※十種流行進程注入技術詳細分析
※兩分鐘了解網路犯罪服務平台那些不為人知的服務
※豪送XPwn 2017門票，限時領取
※安全預警：VMware虛擬機逃逸利用工具已在網上大規模流傳，用戶請儘快更新

TAG:嘶吼RoarTalk |

您可能感興趣

※經常進村偷雞的小型貓科動物：別名「抓雞虎」，從來不會掩埋糞便
※開展親民之旅，約翰遜親自進雞舍抓雞
※養雞場的「抓雞」神器，外形神似「拖拉機」，速度讓人眼花繚亂！
※吳亦凡甩開偶像包袱：捉豬、抓雞、搬磚，十分接地氣！
※蘇志燮朴信惠被孤立！抓雞、烤番薯自己做，網友疑問：探索呆萌？
※老照片，搶羊，抓雞，口舌之欲下的真實侵華日兵
※寶寶去奶奶家做客，抓雞的姿勢也太霸氣了，帥！
※如果愛：弦子跟李茂抓雞，弦子嚇的把雞一扔動作表情很都好可愛呀
※妹子抓雞燉山中的樅菌，散發出自然的野味氣息，香嫩鮮滑又可口！
※二戰時日本鬼子伙食真的很豐盛嗎？那為何鬼子一進村就要抓雞
※為什麼抗戰時期，鬼子兵下鄉掃蕩，這麼喜歡抓雞吃？
※杜海濤穿加棉睡衣，與沈夢辰抓雞接地氣？他身上的馬甲價格不便宜
※杜海濤回沈夢辰家鄉，遇「抓雞」考驗，兩人河邊洗蘿蔔吃接地氣！
※沈夢辰杜海濤錄節目超接地氣，穿這樣去抓雞，網友：我們村的
※為啥鬼子進村後喜歡四處抓雞？難道只是他們愛吃雞嗎？
※日本鬼子端著步槍抓雞？不可能！從日軍的飲食體系揭開這個秘密
※刺激戰場：「雞」刷新最多地點，很多玩家抓雞同時撿到兩把信號槍
※軟乎乎的機器人出了抓雞蛋還能做什麼？
※「油膩星期二」狂歡節！美國人泥地里抓雞畫面搞笑
※蒙眼抓雞鴨抓到抱回家