IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心安全防范博客被黑实录

博客被黑实录


2009/4/22 7:17:09 编辑:佚名 来源:本站整理 
今天给大家分享博客被黑实录安全防范文章。喜欢博客被黑实录的可以分享博客被黑实录给你的好友。

昨天晚上在写完《何去何从》那篇东西的时候突然发现我的博客页面出现异常, 症状就是页面内容靠左了, 正常的话就是在中间的。 问了问朋友也觉得不正常了, 习惯性地打开博客主页的源文件。 不看还行, 一看差点没吓晕过去!源码中第一句便是一个插iframe框架的代码!!!晕了, 博客居然被人挂马了。 这套程序虽然写得不怎么好, 不过后台已经做了些改动, 就算进了我的后台也是没那么容易得到webshell的。 文件编辑功能去掉的了, 自定义上传文件类型也去掉了, 其他基本上还有些文本编辑的功能了。 被黑了虽然是十分的不爽, 没开张几天就中标了, 那还得了?!不过因为我没有FTP权限, 不能上去看看到底发表了什么事, 所以服务器上面只能等朋友解决了。 我想我也不能干等嘛, 就想去分析下那个马。 这个马挺有意思的, 不是普通的htm或者html后缀, 居然是一个asp后缀的文件!这种马我倒还真是第一次见呢, 直接打开页面显示空白。 叫朋友帮忙看了看, 居然说打开我的博客不报毒, 直接打开那个马所在的文件就报毒了。 郁闷, 还有这种事的。 后来又和朋友讨论了一下才知道最近兴起了这类asp的网页木马。 虽然直接打开是看不到任何代码, 不过却是可以用迅雷这类下载工具下载回本地再看的。 不过下回本地后发现更有意思, 里面的代码是倒着写的, 比如EXE文件的下载地址就是这样的:exe.namnwod/segami/8050/swen/moc.iebug.www//:ptth。 要不是认真看还真看不出来呢, 看来马的作者果然有一手!

喜欢安全防范的网友不妨去看看下面的文章:
  •   找到了EXE文件的下载地址当然就是去下载回来分析下了。 下载目标地址的EXE文件后, 大小13K。 用PEID查了一下, 加的是UPX的壳, 直接用PEID自带的UPX脱壳机就脱掉了壳, 脱壳后程序大小为48K。 图标是MSN的图标, 再用PEID看了一下, 居然是什么也没有发现, 看来还有别的保护。 不管了, c32asm载入, 查找关键字, 没有发现下载地址信息, 也没有上线信息等, 确定应该不是下载者类。 不过看到有不少@字符, 初步估计是盗号类木马了。 而且还发现很多和MSN相关的字符。 由于自己的反汇编能力确实很有限, 所以请出ASM大侠帮忙分析。 没多久结果就出来了, 是个盗MSN账号密码的, 运行后会在c:\windows\system32\目录下释放msnmsgr.exe文件。 跳到系统目录下, 不好意思, 我中标了!果然发现有msnmsgr.exe这个文件, 赶紧删除掉。 不过这个文件没有一点难度就删掉了, 还真是不太爽。 问了问ASM, 他说这个程序根本没执行到盗号那一步就执行自删除了, 换句话说就是中了也等于没中, 难怪这么轻易就T出硬盘了!这马白写了, 唉, 可怜的作者。 自删除方式还是创建bat文件实现的呢, 呵呵。 还有插入线程等一些木马所具备的功能, 不过目的都没实现就自行了断了就的确可惜了!至于放马的那个站, 简单的看了看发现不容易拿下就没去理它了。 这个网马还是MS07004、MS06090、QQEXP三个在一块来的呢, 够厉害了!至此, 关于这个马的分析就告一段落了。

      不得不要提的就是, 这个挂得很奇怪:我访问的所有页面都会被在同一位置插入那行iframe框架代码, 包括后台管理页面。 虽然说如果得到了webshell的话, 要做到这一点并不难, 来个批量挂马就OK了。 不过我的博客才开没几天, 又没有什么流量。 那家伙为什么要黑我的呢?貌似没有什么动机。 知道我开博客的人也不多, 有能力黑了的更是屈指可数了。 由此初步断定入侵者应该不是针对我而来的, 要么是旁注的, 发现有站就顺手挂上了;要么就是传说中ARP欺骗挂马大法了!说到ARP挂马这招我以前倒是没听说过的, 虽然玩过ARP欺骗攻击, 也曾经和朋友ARP弄过一个黑客站。 但是ARP用来挂马还是头一回听说。 信息来源是紫侠客提供的, 他说最近在流行一种ARP欺骗挂马, 说我博客的症状极有可能是ARP干的了!手上根本没有任何关于ARP挂马的资料, google了一会终于有结果了, 原来是某个病毒的一种传播方式。 毒是够毒的了, 只要拿到同一网段下的其中一个服务器权限, 就可以对目标进行挂马操作了, 根本无需得到目标网站的任何权限, 就可以把你的马挂到上面, 够狠了吧!由于事发当晚朋友FTP连接不上去, 具体原因无法查明, 初步断定用的就是ARP挂马了。 入侵者并不是有意针对我的, 只是我的博客空间刚好在那个网段, 人家一动手就中标了。 还有就是我的windows居然不能更新了, 手动更新的时候提示我的系统不理正版(本来就不是的啦)了, 难怪N长时间没有自动更新了, 原来MS认出我的系统是盗版的了, 唉。 看来得想个办法更新才行了。 要不天天中马就不爽了, 万一哪天一不小心中了个远程控制木马, 那滋味可不爽啊!

      这次博客被黑事件虽然不爽, 但是也因此而同时接触到了不少新事物。 后来就转移了空间, 弄到安全的地方上去了, 还叫朋友帮忙分析这套程序的代码, 主要是想看看到底哪些地方不够安全, 把危险指数降到最低才是最重要的嘛。 期间还得麻烦我的朋友们了, 博客访问不了, 真的不好意思了哦。 还有就是帮我分析木马、关心我的所有人和帮我转移了空间的朋友, 我在这里向你们说一句:同志们, 辛苦了!等我有几个亿身家的时候送你们几车钞票, 哈哈……

    12下一页

    相关文章
  • 新浪博客回踩引流1000IP的工具
  • 博客已死?移动互联网时代博客的价值
  • 新技能get:微博客户端去广告超简单教程
  • 如何申请腾讯名人博客?
  • 007博客网再暴XSS漏洞
  • 博客月赚$100美元的方法
  • PJblog博客 V3.0 0day漏洞+EXP
  • 中文博客联盟100M免费PHP博客空间
  • 相关推荐
  • 南风时时彩博客计划分享软件 v1.74 最新版
  • 新浪博客刷访问量工具 v1.0 最新版
  • 智动博客助手 v2.94 绿色最新版
  • 博客备份工具BlogDown v5.8026.20160601 官方版
  • 新浪博客推广工具 v2.2 绿色免费版
  • 新浪博客养等级助手 v2.0 绿色最新版
  • 压力山大新浪博客辅助工具 v1.0 最新版
  • 重庆时时彩博客计划地址更新器 1.0 绿色免费版
  • 发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图