鄙人多次处理过各种被黑找幕后黑手事件。。。

如某领导早匿名邮件举报,干掉163拿到邮箱找发件人,,,某学生无聊干了当地教育局配合抓人,,,等等。。。

这还是第一次逆向DDOS事件。。。

某日一友人求助说维护的客户网站遭受SYN,毕竟政府用户有防火墙和IPS,告诉他设置防护就好了。。

第二日。。友人又来,说设置了没用。。。

给了我远程查看配置,发现某防火墙居然功能模块还有到期事件,正好所有模块到期,这防火墙就等于一台路由器了。。。

无奈只得导出日志分析IP手工添加ACL。。。

下面切入正题:

IP导出后,朋友自己加ACL,同时提到去年同一时间也有同样攻击。我怀疑攻击者目的,为什么防火墙功能模块刚到期就发起攻击?

怀着好奇心。。对导出的攻击IP进行扫描

对导出的攻击IP进行扫描

其实如果是国内黑产,不过是1433、3389、3306等常见抓鸡。。ISP封了135 445 等端口SMB服务的利用可能性不大。

果真在记录IP中发现一台3306弱口令

发现一台3306弱口令

然后大家就应该知道了。。。UDF.dll提权即可。。

由于时间已是凌晨2点,直接命令mysql连接,查了些信息

mysql连接,查了些信息:systeminfo

mysql连接,查了些信息:网络连接

可以看出一些IP。。

其中某IP

其中某IP

域名对应???

域名 Whois 信息

邮箱对应???

邮箱、QQ号

收款地址???

支付宝,收款地址

淘宝走你???

淘宝店铺

还用多少几句吗??

蒋华同学请小心了。。。

可惜没有下载病毒样本与其他进一步证据保留。。。否则大家都懂。。。

@xsser @核攻击 @safe121 @whirlwind @网监

[原文地址]

相关内容:

1#

xsjswt | 2013-08-09 16:02

抓到过,是乌云的某白帽子一枚,邮箱、身份证、密码、照片都搞到了。后来老大说损失不大,证据也不够充分,就不管了。

2#

小明是黑阔 | 2013-08-09 16:04

英文名 jkcing???和甲壳虫有关吗??当年还帮甲壳虫和007两个分流过DDOS。。这孩子是?

3#

无敌L.t.H (:?门安天京北爱我) | 2013-08-09 16:05

扫一下棒子的机子可以发现一大堆。

4#

小明是黑阔 | 2013-08-09 16:27

@淘宝网 这个店还能开吗?

5#

围剿 | 2013-08-09 16:46

@核攻击 发现你的基友了

6#

乌帽子 (儿啊,到大城市切莫乱搞女人啊,染上什么病回来传染给) | 2013-08-09 18:11

我比较关心lz有多少比特币

7#

Slcio | 2013-08-09 19:19

@乌帽子 我也关心。。。

8#

Coody (&_&) | 2013-08-09 19:35

@小明是黑阔 弱弱的问一句:“直接命令mysql连接,查了些信息 ”是怎么做到的?

9#

applychen | 2013-08-09 19:40

@Coody 他的意思应该是命令行连接MYSQL然后UDF然后select cmdshell('netstat')吧

10#

Croxy (学习烹饪ing 求大神教 可私信!) | 2013-08-09 20:23

小明好样的

11#

海绵宝宝 (大学狗.) | 2013-08-09 20:51

楼主是网监么

12#

zeracker (多乌云、多机会!) | 2013-08-09 20:55

DDOS定位到个人不难。 : )

13#

debug | 2013-08-09 21:26

楼主是干嘛的? 专业给领导干黑活的? 哈哈 开个玩笑。

14#

safe121 (--黑阔娱乐群:328034840) | 2013-08-09 22:41

经典案例,赞一个。 之前@y35u 的3hack被ddos用过同样的方法追查

15#

小明是黑阔 | 2013-08-09 22:53

@Slcio @乌帽子 没多少。。0.3吧。。去香港搞了块Sapphire 7870 XT。。没弄几天用来玩EVE了。。

16#

小明是黑阔 | 2013-08-09 22:54

@Coody 就是注册udf.dll的函数。。然后直接查。。当时凌晨了。。要睡觉的。。。

17#

小明是黑阔 | 2013-08-09 22:54

@海绵宝宝 不是,他们让帮忙做事。。。

18#

小明是黑阔 | 2013-08-09 22:56

@debug 不是。。只是朋友让帮个忙,正好搞定了,话说网易邮箱真好社工。。一个电话,就拿到重置密码的权限。不像新浪。。想搞个微博。。。。怎么着都没戏。。。

19#

小明是黑阔 | 2013-08-09 22:57

@zeracker 是的。。技术比较简单。。主要是思路和效率吧。。。有的人可以直接吃掉所有肉鸡。。

20#

小明是黑阔 | 2013-08-09 23:01

@围剿 怎么能和核总比。。就是看他玩的挺好玩,自己之前懒没追过。。。很多是借鉴他的。。。就是第二天上班提权后。。第三天服务器就消失了。。本来还想拿样本分析的。。后来只能社工了。。

21#

zeracker (多乌云、多机会!) | 2013-08-09 23:58

@小明是黑阔 哈哈,朔源系统直接定位嘛。

22#

Ivan | 2013-08-10 00:02

哈哈 还是不专业 no zuo no die

23#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-08-10 09:46

Nice Work!

相关内容:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

上来吐个槽,再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件!

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!

核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!

打击钓鱼,人人有责……

追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!

服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码

追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者

【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!

刚刚看到个鱼站,然后就被轮流爆菊了……

使用电视棒接收飞机信号 简单的实现方法

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

支付宝木马爆菊过程总结帖【附源码】

接上一章节,支付宝木马,后续情节【2】

接上一章节,支付宝木马,后续情节

360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花

揭秘诈骗千万人民币的团伙及具体位置分析

接着核总的《打击钓鱼,人人有责》之后的故事...

【跟风贴】XSS挖出一个黑产团体

XSS挖出一个黑产团体

耍了一个发给我网购木马的骗子~~

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

东京大学加密招生海报解密过程(内含妹子)

视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……

简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例

黑客的新目标:泄密其他黑客资料

某人肉搜索的典型案例分析 一群推理神牛

留言评论(旧系统):

佚名 @ 2013-08-10 10:37:45

请在这里填写留言内容,最长不超过 1000 字。

本站回复:

[暂无回复]

佚名 @ 2013-08-10 10:40:25

核总,文中的扫描软件是什么?

本站回复:

目测是小榕前辈写的“流光”,很老的东西了,同时代的还有“X-Scan”等……

test @ 2013-08-10 12:55:11

哪里是流光,分明是Hscan嘛

本站回复:

好吧,寡人眼拙……

test @ 2013-08-10 13:22:23

是hscan吧

本站回复:

好吧,寡人眼拙……

佚名 @ 2013-08-10 18:50:17

赞一个

本站回复:

+10086

咖啡 @ 2013-08-11 11:14:42

妈的我们这边的,核总给出精确位置, 我去剪网线

本站回复:

蛋疼

佚名 @ 2013-08-11 15:24:13

我看到浙江丽水吓尿了,这不是俺家吗

本站回复:

开门!社区送温暖!

佚名 @ 2013-08-12 01:25:43

核总 一不小心在网吧瞎搞 指纹掌纹 啥的全部被弄进去登记了 如何破

本站回复:

烧红铁板,手掌按上去就欧了,一劳永逸……

佚名 @ 2013-08-12 16:15:12

我也以为是流光 真是惭愧

本站回复:

+10086

真无名 @ 2013-08-12 18:43:16

没有说出过程的思路,只是为了炫耀招惹他就被被“爆菊”的下场吧。

本站回复:

过程思路有,很简单,收集各种信息并扩大、深入挖掘,作者只是没有详细说明……

Kev1nD @ 2013-08-15 02:10:20

应该是Hscan Gui Version 很多都类似

本站回复:

嗯,Gui 版。

佚名 @ 2014-06-14 20:31:04

问个菜鸟问题,如果发匿名邮件,采用新建邮箱,新装的电脑,公共无线,能不能抓到? 不要告诉我什么公安不屑于抓这种事情,我就是想知道技术上怎么抓。谢谢核总。

本站回复:

方法很多,参考:http://lcx.cc/?i=2725,site:lcx.cc 追踪,site:lcx.cc 匿迹,site:lcx.cc 爆菊

佚名 @ 2014-06-14 20:32:20

问个菜鸟问题,如果发匿名邮件,采用新建邮箱,新装的电脑,公共无线,能不能抓到? 不要告诉我什么公安不屑于抓这种事情,我就是想知道技术上怎么抓。谢谢核总。

本站回复:

方法很多,参考:http://lcx.cc/?i=2725,site:lcx.cc 追踪,site:lcx.cc 匿迹,site:lcx.cc 爆菊