《一个路径牵出连环血案》之二“被黑真相”

周六早上,成都出现了久违的太阳,多美好的一天啊,原本可以陪女朋友出去逛街的,但是,作为正义化身的我,为了揪出那些邪恶的黑客,决定牺牲陪女朋友的时间。

一大早爬起床,打开笔记本,连上公司的科学,登陆内网日志分析,继续昨日的分析工作。

当前最重要的是先知道黑客是用什么手段攻击了这么多网站,所以我假定请求/data/in***.php的IP就是攻击者,然后分析这些IP历史上的攻击行为。经过一整理,请求过/data/in***.php的IP实在是太多了,而且全世界各个国家的IP都有啊,这样一来,攻击者很难定位啊——很明显是僵尸群。

嘿嘿,我突然想到个小思路,既然加速服务的日志太多,那我去分析下被黑网站的日志不就行了嘛,里面总有记录吧。我先看看有哪些网站是用的虚拟主机,或许日志单独存放在它网站目录中的,如果有我可以考虑给他下载下来做分析——当然把别人主机提权了是不对的事儿,我怎么能做这种事儿呢。不过,先阿弥陀佛观世音如来佛祖保佑日志不要都被黑客删了(站长们啊,保护日志很重要啊@¥#%……&*)。

找啊找啊,我发现一个倒霉鬼,目录里躺了好几十个Webshell,这种新鲜场面让我短暂忘记是找日志了,而跑去翻目录里的好东西了。正在为这个网站中了几十个Webshell而感慨时,我手一抖,点了个链接,页面重载,突然弹出一个提示,吓得我背都凉了:

镇定,镇定,不要害怕——就这么安慰着自己。其实我内心还是害怕的,毕竟不是我黑的,如果管理员认定是我干的,那我岂不是很冤枉吗。

我内心恐惧,截了个图发微信里问大家该怎么办。

“这个好,有意思啊,赶紧想办法联系他,说不定就是黑客写的呢!”老杨首先回了我。

嗯…老杨的话里字字充满了深刻的道理,还好我前几天在万能的淘宝上花了几十块钱买了个号码还不错、等级也高的QQ号。常在江湖漂,马甲是必备的,以前我有个马甲QQ号,不过因为等级太低了,那些黑客都不屑跟我聊天,痛定思痛,才花了几顿饭的钱买了个QQ号。

对方很快通过好友请求。

在加他之前,我头脑里已经模拟了各种可能出现的情况,比如如果是站长的话,他要报警啊、要弄死我啊等等;是黑客的话,他恐吓我啊、威胁我啊啊等等。所以我已经做好了充足的心理准备。

我:“xxx.com 这个网站是你的吗?

神秘人:“以前是,有什么问题?”

我:“是你黑了这个网站才对吧!里面被你放了好多Webshell。”

神秘人:“?这是我的网站啊。只是很久没看过了。”

神秘人:“哦,Webshell果然很多,多谢提醒啊!”

他的回复让我摸不着头脑,看上去他好像真是站长,而且还不知道网站被黑了。难道…刚才那提示不是他特意给我发的了。我骂自己手贱啊,那么急急忙忙就去加别人啊,别惹了一身骚啊。我赶紧用浏览器查看了下Webshell页面的源码,竟然没看到弹出提示的那段Javascript代码。就当我在Webshell里点跳转路径时,那个警告提示又弹了出来。

哈,这下我总算明白了,原来跳转的路径是放在URL参数里的,而因为参数中带有“../”字符,被他的WAF拦截了!这个是WAF返回的提示信息,可不是什么管理员发现了我后专门写的警告。呵呵,看来一向善良的我不太适合做坏事,遇到坏事就吓尿了,就变得很不镇定。不过后来事实告诉我,我没有白加他QQ。

虚惊一场。对方也虚惊一场。于是我亮出自己的身份,对方也顿时对我没了警惕心。然后我俩聊得很High,仿佛我俩上辈子就认识一样。他说他家人也在成都,他也来成都玩过。所以我说,“下次来成都一定找我,定请你吃饭”。

当然我不能白请他吃饭咯,哈哈。接着我露出本来面目:“兄弟,可不可以提供下跟那个Webshell路径有关的日志呢。”,打了这句话后面,还跟了一个看起来很无辜的QQ表情。

好兄弟就是好兄弟,专程帮我整理好日志传给我。

他的日志简直帮了大忙啊!我在日志里找到黑客攻击时用的IP了:

接着拿到这个IP后,把它从加速服务日志系统中导出来做分析!这下找到攻击用的漏洞了:

攻击代码是:

/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]

=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2

[]=32&arrs2[]

这个漏洞已经公开了几个月了,怎么还有这么多网站被黑啊,难道管理员都没更新网站系统吗?于是我大概统计了下DeDeCMS补丁更新情况,屁颠屁颠搞了许久,终于绘制了张饼图:

看来有接近一半的用户没打新补丁。

虽然是找到黑客用什么漏洞发动的攻击,但是发动攻击的这个IP依旧是一台肉鸡IP,而且攻击完全是自动化的,所以要找到黑客用的IP还需要进一步努力啊,黑客你躲好了吗,我来啦。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/138005.html<

(0)
管理的头像管理
上一篇2025-03-02 19:50
下一篇 2025-03-02 19:51

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注