博客被黑实录pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范博客被黑实录

博客被黑实录


2009/4/24  编辑:佚名 来源:本站整理  关键词:

博客被黑实录

 

昨天晚上就在写完《何去何从》那篇东西的时候突然发现我的博客页面出现异常, 症状就是页面内容靠左了, 正常的话就是就在中间的。 问了问网友朋友也觉得不正常了, 习惯性地打开博客主页首页的源文件程序。 不看还行, 一看差点没吓晕过去!源码中第一句便是一个插iframe框架的代码!!!晕了, 博客居然被人挂马了。 这套程序虽然写得不怎么好, 不过后台已经做了些改动, 就算进了我的后台也是没那么容易得到webshell的。 文件程序编辑功能去掉的了, 自已来定义上传文件程序类型也去掉了, 其他可以说是上还是有些文本编辑的功能了。 被黑了虽然是十分的不爽, 没开张几天就中标了, 那还得了?!不过因为我没有FTP权限, 不能够上去看看到底发表了什么事, 所以服务器上面只能等网友朋友解决处理了。 我想我也不能够干等嘛, 就想去分析下那个马。 这个马挺有意思的, 不是普通的htm或者html后缀, 居然是一个asp后缀的文件程序!这种马我倒还真是第一次见呢, 直接打开页面显示空白。 叫网友朋友帮忙看了看, 居然说打开我的博客不报毒, 直接打开那个马所就在的文件程序就报毒了。 郁闷, 还是有这种事的。 后来又和网友朋友讨论了一下才知道最近兴起了这类asp的网页木马。 虽然直接打开是看不到任意一个代码, 不过却是可以能够用迅雷这类下载必备工具下载回本地再看的。 不过下回本地后发现更有意思, 里面的代码是倒着写的, 比如EXE文件程序的下载地址就是这样的:exe.namnwod/segami/8050/swen/moc.iebug.www//:ptth。 要不是认真看还真看不出来呢, 看来马的作者果然有一手!

  去寻找到了EXE文件程序的下载地址当然就是去下载回来分析下了。 下载目标地址的EXE文件程序后, 大小13K。 用PEID查了一下, 加的是UPX的壳, 直接用PEID自带的UPX脱壳机就脱掉了壳, 脱壳后程序大小为48K。 图标是MSN的图标, 再用PEID看了一下, 居然是什么也没有发现, 看来还是有别的保护。 不管了, c32asm载入, 查找关键字, 没有发现下载地址信息, 也没有上线信息等, 确定应该不是下载者类。 不过看到有不少@字符, 初步估计是盗号类木马了。 而且还发现很多和MSN相关的字符。 由于我自己的反汇编能力确实很有限, 所以请出ASM大侠帮忙分析。 没多久结果就出来了, 是个盗MSN账号密码的, 运行后会就在c:\windows\system32\目录下释放msnmsgr.exe文件程序。 跳到系统system目录下, 不好意思, 我中标了!果然发现有msnmsgr.exe这个文件程序, 赶紧删除掉。 不过这个文件程序没有一点难度就删掉了, 还真是不太爽。 问了问ASM, 他说这个程序根本没执行到盗号那一步就执行自删除了, 换句话说就是中了也等于没中, 难怪这么轻易就T出硬盘了!这马白写了, 唉, 可怜的作者。 自删除方式还是建造bat文件程序实现的呢, 呵呵。 还是有插入线程等一些木马所具备的功能, 不过目的都没实现就自行了断了就的确可惜了!至于放马的那个站, 不复杂的看了看发现不容易拿下就没去理它了。 这个网马还是MS07004、MS06090、QQEXP三个就在一块来的呢, 够厉害了!至此, 有关联于这个马的分析就告一段落了。

  不得一定不要提的就是, 这个挂得很奇怪:我访问的所有页面都会被就在同一个详细位置插入那行iframe框架代码, 包括后台管理页面。 虽然说如果得到了webshell的话, 要做到这一点并不难, 来个批量挂马就OK了。 不过我的博客才开没几天, 又没有什么流量。 那家伙为什么要黑我的呢?貌似没有什么动机。 知道我开博客的人也不多, 有能力黑了的更是屈指可数了。 由此初步断定入侵者应该不是针对我而来的, 要么是旁注的, 发现有站就顺手挂上了;要么就是传说中ARP欺骗挂马大法了!说到ARP挂马这招我以前倒是没听说过的, 虽然玩过ARP欺骗攻击, 也曾经和网友朋友ARP弄过一个黑客站。 但是ARP用来挂马还是头一回听说。 信息来源是紫侠客提供的, 他说最近就在流行一种ARP欺骗挂马, 说我博客的症状极有有可能是ARP干的了!手上根本没有任意一个有关联于ARP挂马的资料, google了一会终于有结果了, 本来是某个病毒的一种传播方式。 毒是够毒的了, 只要拿到同一个网段下的其中一个服务器权限, 就可以能够对目标来进行挂马操作了, 根本无需得到目标网站的任意一个权限, 就可以能够把您的马挂到上面, 够狠了吧!由于事发当晚网友朋友FTP连载不上去, 具体原因再也不能够查明, 初步断定用的就是ARP挂马了。 入侵者并不是有意针对我的, 只是我的博客空间刚好就在那个网段, 人家一动手就中标了。 还是有就是我的windows居然不能够更新了, 手动更新的时候提示我的系统system不理正版(本来就不是的啦)了, 难怪N长时间没有全自动更新了, 本来MS认出我的系统system是盗版的了, 唉。 看来得想个办法更新才行了。 要不天天中马就不爽了, 万一哪天一不小心中了个远程控制木马, 那滋味可不爽啊!

  这一次博客被黑事件虽然不爽, 但是也因此而同一个时间接触到了不少新事物。 后来就转移了空间, 弄到安全的地方上去了, 还叫网友朋友帮忙分析这套程序的代码, 主要是想看看到底哪些地方不够安全, 把危险指数降到最低才是最重要的嘛。 期间还得麻烦我的网友朋友们了, 博客访问不了, 真的不好意思了哦。 还是有就是帮我分析木马、关心我的所有人和帮我转移了空间的网友朋友, 我就在这里向您们说一句:同志们, 辛苦了!等我有几个亿身家的时候送您们几车钞票, 哈哈……

相关文章
  • 新浪博客回踩引流1000IP的工具
  • 博客已死?移动互联网时代博客的价值
  • 新技能get:微博客户端去广告超简单教程
  • 如何申请腾讯名人博客?
  • 007博客网再暴XSS漏洞
  • 博客月赚$100美元的方法
  • PJblog博客 V3.0 0day漏洞+EXP
  • 中文博客联盟100M免费PHP博客空间
  • 博客被黑实录
  • 利用Google博客搜索查看加密QQ空间(qzone)日志
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图