**因种种客观原因,本文所讲全部大家可以认为是胡编乱造,如有雷同纯属做梦***
2014年6月3日深夜,习科VIP群直播了一次入侵追踪事件,习科维护的海外钓鱼节遭到不明身份黑客的入侵,虽然截图不多,但小编已经把整个经过都记录下来。
事情是从一个诡异的弹窗开始的。正当某成员M登陆服务器检查一天日志的时候,突然服务器弹出了一个会话窗口。。。M意识到服务器被入侵了。。。。
说一下M的钓鱼服务器环境,Win2K8 R2 + Wampp,Apache上面配置了两个域名,两个域名只有一个A记录解析在上面,另一个域名的A记录解析在另外一台服务器。
根据M的描述,他在服务器例行检查的时候,突然出现一个来自任务管理器用户为域/administrator的弹窗,弹窗大致意思是“hi童鞋,我重启了wampp,但是域名还是不解析”。
*科普任务管理器弹窗:打开服务器任务管理器,在会话窗口右键其他用户,有个发送信息的功能 ^_^
M使用的登陆账户名字叫做iis_user(administrator的密码很弱,但是不经常登录),黑客以为M也是登陆服务器的黑客,他以为自己把wampp搞坏了,所以给“黑客”M弹了个窗。来看一下M当时的截图(很遗憾,弹窗没有截图就关掉了):
这里有几个很奇怪的问题:
1,弹窗的同时query user并没有除了M以外的在线用户
2,M从来都有注销的好习惯,这次的登陆id不为0不为1,居然是3
3,入侵黑客是如何把wampp搞挂掉,又重启的
4,没有taskmgr进程,是如何完成弹窗动作的
这里有的人会说,netstat显示有ip连接,不一定是登陆成功,也可能是正在进行暴力破解。
这样说在理论上确实没有问题,因为暴力破解3389密码也是需要连接3389端口的,但是如果administrator没有登陆过呢?或者说暴力破解3389的时候能否弹窗(经过购买黑市0day和测试,这个真的可以有)?
M用wce读取了内存中Windows用户信息,但凡成功登陆过的Windows用户都可以从内存中读取其明文密码,显然M没有登陆过administrator,但是wce却读出了明文。
那么从登陆日志开始找找线索吧。
日志当中从两日前开始就有无数的ip进行连接,都是审核失败,应该是暴力破解,或者说其实是让管理员找不到被入侵原因的烟雾弹。
不断进行3389连接且审核失败的ip有:
203.162.1.195
89.248.174.30
173.212.210.181
198.13.101.18
通过同ip站点查询,这些应该全都是炮灰,说白了其实就是送死的肉鸡。
重点并不在这里,重点在于日志,所有审核失败的日志都在,唯独6月2日11:10审核成功的那几条日志不见了。经过测试,Windows 2K8 R2清理日志默认是不支持单挑删除的。
我们对于这种入侵行为的态度是,要玩就好好玩认真玩。说到日志,小编补充一句,M找黑客在哪里动手脚的时候,因为自己的iis_user账户登陆id为3,依次尝试了logff 0到logoff 2
通过query user和任务管理器查不到在线用户,不代表这个用户就不在线。logoff成功以后,黑客再次登陆了administrator,并且这次成功抓到了日 志。M使用了习科自主开发的硬盘监控软件(习科论坛VIP版块一年前就有下载了)对硬盘进行监控,顺便把清理日志的软件拷贝了一份。
本以到高潮的文章,小编不得不遗憾的结束啦,小编感慨,老美的国家队工具就是牛呀(此截获的工具将不日在论坛VIP区公布),收0day跟买烂白菜一样要多少有多少。
最后小编总结和对比一下:
他国国家队,大把的0day,大把的成型工具,开一堆烟雾弹日志,清理日志用成型工具只清理关键几条,发送在线消息,替换Windows一些文件一键完成。
习科,蜜罐。
中国小黑,邮件钓鱼,扫鸡,挂马,痕迹能清全部清(硬盘还能恢复出来那种清),清不了我大天朝地大物博怕你咋滴?
安全厂商,我是救世主,我是神,我是最屌的。
***本文以上纯属扯淡,如果你信了,那几个炮灰ip自己搞上去查查日志监控监控硬盘,说不定就抓到0day了 🙂
//Silic.Org
转自:http://silic.org/post/hacker_in_hacking