->
为朋友出了口恶气-爽!
[ 2006-11-17 10:00 | 作者:残耳 ]
起因:
看到我老朋友的QQ号码资料全部被修改了,并且在资料里还弄了个"QQ防火墙",我朋友经常到网吧上网,这年头在网吧被偷QQ已经不是什么新鲜事了,但是这个偷Q贼也太嚣张了,还在资料里留下一个"更新地址"http://www.(省略两位)265.cn/ ,我登陆了那个网站MB的竟然还挂木马,太狠毒了,估计我朋友的好友也和我一样进入该网站看个究竟,这样一来不知道又要有多少人被他偷QQ了,本来我有个原则是无论基于任何理由都不会为人偷回游戏装备或者QQ号之类的帐号的,但是这人做得太嚣张了,该页面还弄个"QQ防火墙"来污蔑人类的智慧!(不过我确信有不少SB会相信的,比如那些QQ群传了几个信息等级就变太阳的"漏洞",就有不少人当以为真),接着就展开了我的"调查计划"
由于该"qq防火墙"页面留了一个站长联系QQ号,所以我尝试下在这里入手(其实我也没辙,这个信息根本不可靠,说不准是害那个人的)
巧的是那个人也是个站长,下面是我和他的部分聊天记录:
其实本人当时确实相信他的话了,因为确实有过类似的事发生,我不掩饰自己是个SB,其实欺骗我是很容易的
但是就这样算了么?当然不啦,由于该站就只有一个页面index.html和一个木马的网页,所以根本没有漏洞可言,但是如果他有网站的话,应该会使用网页收信的(现在的QQ木马为了预防丢邮件现象,都设置有这个功能),结果我只有从他服务器的其他网站入手了,幸好该服务器用了可爱的serv-U,通过傍注和提权,我还算比较轻松的拿下了服务器权限,由于是虚拟机,花了我不少时间才找到那个该死的木马站目录,可惜失望的是确实只有简单的几个页面和一些图片文件,没有我想要的"QQ木马收信文件",到此失去了方向了,暂告一段落。几天后,我发现那个“受害者站长”的资料里出现了他的网站地址,他不是说了不做网站的么?我纳闷了,好奇心让我又去“检测”下他的网站安全,这次就不用太麻烦了,由于他的站使用的asp程序有注入漏洞,我是很轻松的在后台拿到了shell,这次发现大了,他站点的根目录有不少的txt文件(其实一般上网站除了定义蜘蛛和说明、版权外是不会有txt文件的
让我们看看里面的是什么内容:
可恨啊!几个文件都是满满的QQ号和密码,多少人的QQ被这个被害者站长给偷了,(同时我在那些文件中找到了我朋友的QQ号)我随手把所有几个字母转换掉,这样等他得到的密码通通都是错误的
但是他不会就此罢休的,我留在他网站的后门也总有一天被他发现,所以木办法,只有拿到绝对权限才行了,同时发现一个问题(虽然他的网站不是放在一个服务器上的,但是都有一个共通点,容易提权,服务器管理员太懒啦
)
对其他网站我没有兴趣,所以服务器我没有留后门,拿到了他的ftp就够了,留下纪念
感想:怪不得现在的“黑客”满天飞,作为安全堡垒的服务器权限那么轻易就被拿下了,还有什么安全可言?有时候自己的站可能是没有漏洞的,但是同一个服务器的其他网站有漏洞,搞不好自己就被入侵了,虚拟机的站点那么多,要做到全部站点都没有漏洞,难啊!
看到我老朋友的QQ号码资料全部被修改了,并且在资料里还弄了个"QQ防火墙",我朋友经常到网吧上网,这年头在网吧被偷QQ已经不是什么新鲜事了,但是这个偷Q贼也太嚣张了,还在资料里留下一个"更新地址"http://www.(省略两位)265.cn/ ,我登陆了那个网站MB的竟然还挂木马,太狠毒了,估计我朋友的好友也和我一样进入该网站看个究竟,这样一来不知道又要有多少人被他偷QQ了,本来我有个原则是无论基于任何理由都不会为人偷回游戏装备或者QQ号之类的帐号的,但是这人做得太嚣张了,该页面还弄个"QQ防火墙"来污蔑人类的智慧!(不过我确信有不少SB会相信的,比如那些QQ群传了几个信息等级就变太阳的"漏洞",就有不少人当以为真),接着就展开了我的"调查计划"
由于该"qq防火墙"页面留了一个站长联系QQ号,所以我尝试下在这里入手(其实我也没辙,这个信息根本不可靠,说不准是害那个人的)
巧的是那个人也是个站长,下面是我和他的部分聊天记录:
其实本人当时确实相信他的话了,因为确实有过类似的事发生,我不掩饰自己是个SB,其实欺骗我是很容易的
但是就这样算了么?当然不啦,由于该站就只有一个页面index.html和一个木马的网页,所以根本没有漏洞可言,但是如果他有网站的话,应该会使用网页收信的(现在的QQ木马为了预防丢邮件现象,都设置有这个功能),结果我只有从他服务器的其他网站入手了,幸好该服务器用了可爱的serv-U,通过傍注和提权,我还算比较轻松的拿下了服务器权限,由于是虚拟机,花了我不少时间才找到那个该死的木马站目录,可惜失望的是确实只有简单的几个页面和一些图片文件,没有我想要的"QQ木马收信文件",到此失去了方向了,暂告一段落。几天后,我发现那个“受害者站长”的资料里出现了他的网站地址,他不是说了不做网站的么?我纳闷了,好奇心让我又去“检测”下他的网站安全,这次就不用太麻烦了,由于他的站使用的asp程序有注入漏洞,我是很轻松的在后台拿到了shell,这次发现大了,他站点的根目录有不少的txt文件(其实一般上网站除了定义蜘蛛和说明、版权外是不会有txt文件的
让我们看看里面的是什么内容:
可恨啊!几个文件都是满满的QQ号和密码,多少人的QQ被这个被害者站长给偷了,(同时我在那些文件中找到了我朋友的QQ号)我随手把所有几个字母转换掉,这样等他得到的密码通通都是错误的
但是他不会就此罢休的,我留在他网站的后门也总有一天被他发现,所以木办法,只有拿到绝对权限才行了,同时发现一个问题(虽然他的网站不是放在一个服务器上的,但是都有一个共通点,容易提权,服务器管理员太懒啦
)对其他网站我没有兴趣,所以服务器我没有留后门,拿到了他的ftp就够了,留下纪念
感想:怪不得现在的“黑客”满天飞,作为安全堡垒的服务器权限那么轻易就被拿下了,还有什么安全可言?有时候自己的站可能是没有漏洞的,但是同一个服务器的其他网站有漏洞,搞不好自己就被入侵了,虚拟机的站点那么多,要做到全部站点都没有漏洞,难啊!
[本日志最后由0于2006-12-10 09:23编辑]
引用通告地址:
GB2312 http://blog.gxceo.com/old/trackback.php?id=144&encode=gb2312
UTF-8 http://blog.gxceo.com/old/trackback.php?id=144&encode=utf-8
Big5 http://blog.gxceo.com/old/trackback.php?id=144&encode=big5
GB2312 http://blog.gxceo.com/old/trackback.php?id=144&encode=gb2312
UTF-8 http://blog.gxceo.com/old/trackback.php?id=144&encode=utf-8
Big5 http://blog.gxceo.com/old/trackback.php?id=144&encode=big5
->
[2006-11-21 02:56:20 AM ]
