鄙人多次处理过各种被黑找幕后黑手事件。。。
如某领导早匿名邮件举报,干掉163拿到邮箱找发件人,,,某学生无聊干了当地教育局配合抓人,,,等等。。。
这还是第一次逆向DDOS事件。。。
某日一友人求助说维护的客户网站遭受SYN,毕竟政府用户有防火墙和IPS,告诉他设置防护就好了。。
第二日。。友人又来,说设置了没用。。。
给了我远程查看配置,发现某防火墙居然功能模块还有到期事件,正好所有模块到期,这防火墙就等于一台路由器了。。。
无奈只得导出日志分析IP手工添加ACL。。。
下面切入正题:
IP导出后,朋友自己加ACL,同时提到去年同一时间也有同样攻击。我怀疑攻击者目的,为什么防火墙功能模块刚到期就发起攻击?
怀着好奇心。。对导出的攻击IP进行扫描
其实如果是国内黑产,不过是1433、3389、3306等常见抓鸡。。ISP封了135 445 等端口SMB服务的利用可能性不大。
果真在记录IP中发现一台3306弱口令
然后大家就应该知道了。。。UDF.dll提权即可。。
由于时间已是凌晨2点,直接命令mysql连接,查了些信息
可以看出一些IP。。
其中某IP
域名对应???
邮箱对应???
收款地址???
淘宝走你???
还用多少几句吗??
蒋华同学请小心了。。。
可惜没有下载病毒样本与其他进一步证据保留。。。否则大家都懂。。。
@xsser @核攻击 @safe121 @whirlwind @网监
相关内容:
1#
xsjswt | 2013-08-09 16:02
抓到过,是乌云的某白帽子一枚,邮箱、身份证、密码、照片都搞到了。后来老大说损失不大,证据也不够充分,就不管了。
2#
小明是黑阔 | 2013-08-09 16:04
英文名 jkcing???和甲壳虫有关吗??当年还帮甲壳虫和007两个分流过DDOS。。这孩子是?
3#
无敌L.t.H (:?门安天京北爱我) | 2013-08-09 16:05
扫一下棒子的机子可以发现一大堆。
4#
小明是黑阔 | 2013-08-09 16:27
@淘宝网 这个店还能开吗?
5#
围剿 | 2013-08-09 16:46
@核攻击 发现你的基友了
6#
乌帽子 (儿啊,到大城市切莫乱搞女人啊,染上什么病回来传染给) | 2013-08-09 18:11
我比较关心lz有多少比特币
7#
Slcio | 2013-08-09 19:19
@乌帽子 我也关心。。。
8#
Coody (&_&) | 2013-08-09 19:35
@小明是黑阔 弱弱的问一句:“直接命令mysql连接,查了些信息 ”是怎么做到的?
9#
applychen | 2013-08-09 19:40
@Coody 他的意思应该是命令行连接MYSQL然后UDF然后select cmdshell('netstat')吧
10#
Croxy (学习烹饪ing 求大神教 可私信!) | 2013-08-09 20:23
小明好样的
11#
海绵宝宝 (大学狗.) | 2013-08-09 20:51
楼主是网监么
12#
zeracker (多乌云、多机会!) | 2013-08-09 20:55
DDOS定位到个人不难。 : )
13#
debug | 2013-08-09 21:26
楼主是干嘛的? 专业给领导干黑活的? 哈哈 开个玩笑。
14#
safe121 (--黑阔娱乐群:328034840) | 2013-08-09 22:41
经典案例,赞一个。 之前@y35u 的3hack被ddos用过同样的方法追查
15#
小明是黑阔 | 2013-08-09 22:53
@Slcio @乌帽子 没多少。。0.3吧。。去香港搞了块Sapphire 7870 XT。。没弄几天用来玩EVE了。。
16#
小明是黑阔 | 2013-08-09 22:54
@Coody 就是注册udf.dll的函数。。然后直接查。。当时凌晨了。。要睡觉的。。。
17#
小明是黑阔 | 2013-08-09 22:54
@海绵宝宝 不是,他们让帮忙做事。。。
18#
小明是黑阔 | 2013-08-09 22:56
@debug 不是。。只是朋友让帮个忙,正好搞定了,话说网易邮箱真好社工。。一个电话,就拿到重置密码的权限。不像新浪。。想搞个微博。。。。怎么着都没戏。。。
19#
小明是黑阔 | 2013-08-09 22:57
@zeracker 是的。。技术比较简单。。主要是思路和效率吧。。。有的人可以直接吃掉所有肉鸡。。
20#
小明是黑阔 | 2013-08-09 23:01
@围剿 怎么能和核总比。。就是看他玩的挺好玩,自己之前懒没追过。。。很多是借鉴他的。。。就是第二天上班提权后。。第三天服务器就消失了。。本来还想拿样本分析的。。后来只能社工了。。
21#
zeracker (多乌云、多机会!) | 2013-08-09 23:58
@小明是黑阔 哈哈,朔源系统直接定位嘛。
22#
Ivan | 2013-08-10 00:02
哈哈 还是不专业 no zuo no die
23#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-08-10 09:46
Nice Work!
相关内容:
上来吐个槽,再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件!
再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”
上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!
核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!
追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!
服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码
追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者
【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!
rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪
360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花
关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论
视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……
简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例
留言评论(旧系统):
文章来源于lcx.cc:【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论