网站遇黑阔,求分析思路查身份~
zone | 2015-11-03 00:04
朋友的一个刷单平台最近遇到一黑阔,损失了不少,找我帮忙,也没啥好主意,唉~_~
各位大神快来给点建议分析分析~
“一个刷单平台网站,分为商家和刷手,刷手通过平台给商家做任务。10月份,就出现,黑客登录到刷手的账号,给商家做任务,是远程付款任务,就是商家在刷手的电脑进行付款,黑客以刷手的身份,让商家在自己电脑上付款,然后达成远程钓鱼的目的。付款的时候,直接伪造付款页面,将钱转走。后来,我在平台上规定,商家在和刷手接洽的时候,必须核对QQ,就是商家必须和刷手本人的QQ聊天,才能做任务,否则被骗不负责,后来骗子感觉骗不了了,就开始利用黑客技术,修改刷手会员信息的QQ账号,将QQ改成自己的,然后冒充刷手做任务。
这几天,通过调取10月份之前的会员QQ信息和10月份的QQ信息,进行比对,发现一些QQ号在10月份被修改过,今天把被改过QQ的这些刷手账号封了。以免黑客登录这些账号行骗。但是晚上,很意外的是,上午封的账号,黑客晚上竟然解封了,依旧照常到里面接任务行骗。
基本情况就是这样,现在黑客,能修改会员密码,能修改会员QQ号,还能将管理员封的账号解封。
”
不知这位黑阔是只能上后台,还是已经拿下服务器了,朋友说安全狗没查出什么出来,上后台的话,如果有xss也许就能很轻易进去了。
现在的问题是,可不可以通过一些技术手段,找出这位黑阔的真实身份,让平台避免损失,求姿势~
(我想的是能不能在黑阔登陆的帐户上,做些手脚,比如插入一段<embed/src=//小号qq空间>,记录访客,查真实qq。。。)再社工。
已知:黑阔作案qq通常是小号,多次登陆ip显示为江苏徐州的。
~~我怎么感觉有种侦探小说的赶脚。
各种吐槽:
1#
h3hz | 2015-11-03 01:05
还真是逗智逗勇啊,我怎么感觉黑阔有数据库权限,换个后台,改下数据库密码,找出黑阔怎么日进来的蛛丝马迹
2#
麦兜 (麦兜爱吃苹果) | 2015-11-03 01:25最佳答案
1,修改所有有解封权限用的密码,全部用明文加md5,看是否还有这样的情况,如果还有,说明漏洞不在用户密码,可能是xss或者sql
2,登录后台,前台,抓包,一个一个的验证,看是否有访问非正常url,如果有可能是xss
3,注入漏洞就只能看日志了,web日志,数据库日志
4,如果被拿了webshell也只能从日志分析了。D蹲可以扫一扫,
5,服务器端口漏洞,这个就要具体看了,关闭所有端口,只开放80对外访问,注意检测弱密码ftp,ssh.telnet,rdp,mysql,mssql,web(80,8080等)
6,看你是否有备份,优化维护后直接回复,记得开日志
3#
麦兜 (麦兜爱吃苹果) | 2015-11-03 01:27
你装了安全狗,有防注入,一般在检测sql注入的时候可能会被狗拦截,你可以对应安全狗的注入日志,对应的找
4#
围剿 (七月流火,八月未央,九月白露凝成轻霜) | 2015-11-03 08:06
@麦兜 666
5#
随风的风 (静,已修身) | 2015-11-03 08:14
@麦兜 666 专业啊
6#
纷纭 (:-)) | 2015-11-03 08:30
查看web 日志~~
7#
齐迹 (sec.zhubajie.com 欢迎来撸) | 2015-11-03 08:53
万一是逻辑漏洞呢?任意密码重置在wooyun上已经不计其数了。
还有越权修改资料什么的。
这些在NB的软件都无法检查的。
8#
一只猿 (专注无线电与硬件安全) | 2015-11-03 09:02
搞个蜜罐
9#
Hckmaple | 2015-11-03 09:09
@麦兜 分析透彻!666
10#
大漠長河 (专注智能家居与硬件防火墙) | 2015-11-03 09:11
@一只猿 高论
11#感谢(1)
newline | 2015-11-03 09:21
第一时间下线应用, 如果是VPS, 把VPS系统加应用打包刻到盘或者转移到移动硬盘, 挪到一个断网环境,先审计一遍日志, find查找触点信息, 比如shell, sqlinjection, xss类的问题触点, 如果可以找到, 就去复现, 可以复现的话就对其进行修复然后继续下一步审计, 如果找不到, 就应该从客户端边界开始审计, 检查客户端边界用户可控变量,可控参数, 是否存在变量型的注入, 保存型&反射xss? 然后是服务器端脚本(身份验证用的是哪些方式,是否存在验证不全,验证绕过,验证信息泄露,逻辑错误问题?会话管理是用的哪些方式, 是否存在可猜测,可以被暴力,或者单纯的使用一种方式进行会话管理?典型的就是没有token,访问控制采用了哪些手段,验证的完整吗?) 把服务器端脚本的这些问题检查清楚后下面可以做一个代码审计, 主要是sql注入, 命令执行, 文件包含, 任意文件上传,变量覆盖导致的各种问题,xss, csrf,各种逻辑问题这些, 把应用层的问题基本都撸清楚后, 对它们进行一一修复, 修复后, 继续检查服务器端平台, 检查是否被放了木马, 启动项是否异常, explorer是否被插了dll,是否有异常服务, 是否有异常文件, 如果是linux/unix 可以扫一扫有没有rootkit,有没有对外发包的程序在跑, 不管是windows下的还是linux unix下的, 检查到后对其进行一一删除, 删除完后, 可以对平台和应用进行一次安全加固, 如果你使用的是apache mysql apache下的httpd.conf mysql下的my.ini 如果还有php就是php下的php-apache2handler.ini 这个名字具体要根据版本, 不是固定的, 从这些文件里可以对apache,mysql,php进行一下安全加固, 比如禁用函数, 限制目录等等这些, 详细的可以自己百度, 完了后可以对系统平台进行一下加固, 比如删除不用的帐号, 删除一些命令执行通道,(wsshell, cmd,)或者改名,对负责倒入倒出的dll降权, 等等, 这些公开环境也有资料, 把客户端边界, 服务器端脚本, 服务器端应用平台, 服务器端自身平台都加固完了后, 可以上个防火墙, 弄个监控啥的, 基本就没什么问题了。
12#
newline | 2015-11-03 09:27
我上面说的审计流程和方法只是说了个大概, 全部包括并不是只有这些, 你可以结合你所了解的和你的基础进行。
13#
hkAssassin | 2015-11-03 09:57
找我,我去抓~~~说那么多有毛用,搞业务之前为什么不想想会被黑掉。就算没有一个全职的安全人员,也得找一个兼职的吧!出问题了自己不查,让你来这里问,你觉的大家说的你能用么?(这就是不重视安全的后果)最好的建议就是钱给到位,找人直接去查,我相信,能出来你期待的结果~~~~
14#
July | 2015-11-03 10:14
后台管理地址主页(index default )解析插入流量统计代码,原来解析文件更名;如果没有统计到第三者或许他已经有服务器权限。
如果是IIS的话后台管理地址,做个IIS访问认证,如果网站还出现异常说明 要查shell 服务器后门 逻辑漏洞 之类的了。
15#
Dream° | 2015-11-03 10:39
在网站上面加上来访电脑QQ记录 然后比对时间进行排查黑客操作那个时段的QQ 一般黑客嘛 取名都有点另类 还是比较容易的@zone
16#
Dream° | 2015-11-03 10:42
私密我QQ 可以帮你在试试@zone
17#
独臂刀王 | 2015-11-03 10:58
一直我都是伪造金额体现的,,,
18#
zone | 2015-11-03 11:03
感谢诸位的建议~多谢啦 :)
19#
这只猪 (会拱白菜) | 2015-11-03 11:31
估计是网站源码泄露了,然后被脸上了数据库操作的。
20#
地瓜 (此处内容为隐藏内容,点击感谢即可查看此内容) | 2015-11-03 15:08
安全狗安全宝D盾
21#
小表哥 | 2015-11-03 15:10
我想知道你找到哪位黑客怎么处理? 损失了没想过报警,自己找出来。。。你是想打他一顿么??
22#
zone | 2015-11-03 15:31
@小表哥 haha 不是不是,觉得值得一提,就是发出来,看看有什么好建议学习学习~ 关键是别让朋友平台在损失了,至于找出那个黑阔,只是我自己脑洞一开,看看有什么姿势,~比如 @一只猿 说的蜜罐~怎么做? 囧
23#
小表哥 | 2015-11-03 15:37
@zone 既然知道他改过的qq,那你就冒充商家去发任务,搞到钓鱼平台然后搞啊
24#
zone | 2015-11-03 15:54
@小表哥 他的都是小号,这里是刷手选商家,先刷后付款,这里冒充有难度啊。然后,钓鱼平台搞什么?钓QQ号?
25#
LaTCue (善养人妻。) | 2015-11-03 16:35
http://www.diyishuadan.com/ 第一刷单? 如果是这个的话 我可以告诉你漏洞 是DX插件包含 直接getshell
http://www.diyishuadan.com/plugin.php?action=../../../../../robots.txt%00&id=dc_mall
26#
zone | 2015-11-03 16:39
@LaTCue 不是奥
27#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2015-11-04 14:42
“黑客以刷手的身份,让商家在自己电脑上付款,然后达成远程钓鱼的目的。付款的时候,直接伪造付款页面,将钱转走”
太有才了。。
相关内容:
北京NDS公司工程师攻击46万台机顶盒传播反动信息 获刑12年
简单获取CDN背后网站的真实IP,CDN逆向,反向跟踪网站真实IP
JSON探针—定位目标网络虚拟信息身份,利用大量三方网站cookie进行追踪
社会工程学追踪 妻子花6万挖出小三 给60多个号充话费锁定4人
逆向追踪一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件
论匿名转帐和转移资产的可能,如何:网络匿迹、匿名洗钱、转移资产系统
跨行、跨省银行卡间转账不用手续费?利用支付宝为什么不收手续费?
APT攻击:境外间谍“飞哥”假扮女网友策反境内人员 窃取中国军事秘密
多层代理下解决链路低延迟的技巧,多层代理网络匿迹,反追踪,隐藏、保护自己
基于Wordpress Pingback的反追踪思路?木马远控通过“代理”上线?
揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息
一起网络诈骗案的风险揭示,套取用户信息、信用卡、支付宝、快捷支付洗钱
如何在网络中隐藏自己?再论拨了国外VPN代理,是否可被逆向追踪?
江西男子克隆国外银行卡刷513万 给两任女友395万 跨境盗刷信用卡
支付宝/淘宝帐号无需密码登录任意帐号,随意查看用户资料/交易记录/转账洗钱
个人认为微信支付存在的安全问题,同一银行卡多重绑定,恶意盗刷
关于3G流量上网卡!(匿名上网),隐藏自己、网络匿迹、保护自己
浅谈社工,欢迎讨论、补充,各种猥琐社工、人肉技巧,物理社工、人肉
【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工
俄罗斯黑客被曝潜伏Facebook,搭建蜜罐监视tor网络数据
保护水表:关于tor和mac地址的疑问,各位进来讨论一下,反追踪/匿迹
XX域名商实战,社工客服妹妹,毫不费力拿到目标公司内部通讯录
探秘时刻:多重身份的逃犯,不翼而飞的七百万,几百买身份证一票弄了700万
由“正方”jiam、jiemi之逆向思及Base64之逆编码表
您的工商银行电子密码器将于次日失效?伪基站垃圾短信,网银钓鱼诈骗!
朋友点开一个文件给骗30万,一种“高级”QQ诈骗骗术,远控电脑诈骗
关于伪基站的一些问题:信号覆盖范围?设备成本?是否违法?教程资料?
伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!
【防骗】又见网银诈骗,骗子冒充朋友,借口卡丢了先借你卡转账用用,揭秘!
全方位在互联网中保护自己第七章(上网习惯以及计算机唯一代码追踪的防范)
京东 淘宝 天猫订单信息泄露诈骗, 接到“京东”的客服电话之后遭遇团伙诈骗
金融改革记录片(97% Owned)-97%被私人银行占据的无中生有债务货币
【略狗血】一种结合本地程序的更加猥琐的钓鱼方式(中招率+100%)
逆向追踪之:通过QQ群里的图片逆向入侵,拿了几个phpddos的脚本
娱乐贴:打击网络诈骗 - 骗子骗钱反被骗 - 发个骗子的手法,其实还是时时彩
全方位在互联网中保护自己第六章(国产软件或后门软件的替代品(下))
全方位在互联网中保护自己第三章(知识普及篇—了解网监的实力与暗箭(下)
简单分析丝绸之路创始人如何被抓,FBI真的能透过TOR获取真实IP么?
全方位在互联网中保护自己第五章(国产软件或后门软件的替代品(中))
全方位在互联网中保护自己第四章(国产软件或后门软件的替代品(上))
全方位在互联网中保护自己第二章(知识普及篇第二章-了解网监的实力与暗箭(上))
求黑产大牛目测,一位妹纸的亲身经历,身份证号+手机号洗你银行卡
如何用意念获取附近美女的手机号码,伪装免费CMCC信号,钓鱼妹子手机号码
银行卡里钱莫名其妙被转走了,有身份证号码、姓名、银行卡号就能提款?
注意,日站的时候请清理cookie或使用虚拟机,否则可被cookie追踪
现在傻逼太多,骗人太好骗,淘宝搜剑灵激活码,好多10几块钱的骗子
为抓小偷 俄警方在地铁安装能读取乘客手机信息的设备,这是啥技术?
一种巨猥琐的挂马方法、超淫荡的APT攻击思路:如果这么挂马会不会挂进内网
分享下自己使用的保护方法篇章二(虚拟机模板环境设置) 连载中...
分享下自己使用的保护方法篇章一(虚拟机代理中转服务器设置)连载中...
分享下自己使用的保护方法篇章一(虚拟机代理中转服务器设置) 连载中...
超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她
R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)
rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR
rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪
户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)
上来吐个槽,再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件!
再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”
GNU Radio USRP OpenBTS 小区短信 区域短信
一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截
【传奇】看职业骗子如何揭发谷歌广告服务的不法活动,谷歌5亿美元和解费
上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!
360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花
淘宝又见好东西,低价格钓鱼几个倒霉蛋骗到手大额的款项,跑路、关店
核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!
中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码,上门砍人
追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!
服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码
公告:关于前两天本站无法打开的原因 + GFW拦截规则原理剖析
Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入
android 延迟锁定bug,安卓手机锁破解,屏幕解锁保护
关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论
远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击
追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者
视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……
《魔兽世界》截屏数据水印惊现用户私人数据 截图隐藏水印 暗含玩家信息
简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例
iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器
Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗
iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号
找出 GFW 在 Internet 的位置、追踪 GFW 在互联网中的位置
德安全专家破解GSM加密算法 GSM网络破解 监听全球40亿部手机
非法获取百度推广账号 实施网络诈骗 篡改百度推广 市民被骗财
黑客在Defcon建立私人电话网络 - DEFCON 忍者 GSM 网络
【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!
刷下“拉卡拉”卡里2万多块钱丢了,复制银行卡,POS机、刷卡黑客
华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕
视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播
利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备
电信诈骗,电话营销,一响挂电话,推销平安、人寿保险,冒充朋友
电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?
任何一种装机量巨大的软件,都有政府监控模块,我们应该如何保护自己?
Tabnapping 浏览器标签劫持 用假冒浏览器标签进行钓鱼攻击
用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位
不要偷黑客的东西 - Why you don't steal from a hacker
【分析】腾讯独立域名QQ空间被钓鱼,腾讯官网被黑,被植入钓鱼页面!
台两15岁少年开淫窟 骗12名少女为“爱”卖身 月进300万元
【公告】警惕名为:Nuclear'Atk. QQ:424244818 冒充本人的骗子黑客
DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击
留言评论(旧系统):