【徒手抓小黑客】

地址：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=31919&from=timeline&isappinstalled=0

作者：沙明

轉自：黑白之道（ID：i77169）

客戶名稱：某高校

事件類型：伺服器入侵事件

問題主機情況描述：伺服器被上傳webshell，建立隱藏用戶，克隆賬號，網站源代碼被刪除。

事件處理過程：

0x01 應急響應

某天，接到一線反饋，客戶的伺服器被黑，網站源代碼被刪，我馬不停蹄，登錄被黑的伺服器，進行排查。

首先了解到伺服器如下的情況：

伺服器主要用途：學校官方網站

操作系統：Windows Server 2003

Web伺服器：IIS 6.0

資料庫： SQL Server 2005

防護設備：360安全衛士

被黑后的現象：伺服器被上傳webshell，資料庫被脫庫，網站被掛黑鏈，同時部分源代碼被刪。

好了，既然伺服器被黑，網站中必定是存在後門的，那麼首先祭出我們的webshell查殺神器（問我使用了什麼神器，偷偷的告訴你：「D盾」，不知道請請自行腦補：http://www.d99net.net/News.asp?id=62）

查看伺服器中的用戶，發現攻擊者創建的隱藏賬號，賬號創建的時間也是3月18日。

再祭出第二款神器360殺毒，來個全盤查殺，果然發現了攻擊者上傳的埠轉發工具lcx.exe和溢出工具pr.exe。

查看防火牆的WAF日誌，發現WAF僅對222.asp、hs666.asp進行了攔截，並未對T_00\.asp進行攔截。

對IIS日誌進行排查，根據文件修改時間27日的01:23分和01:31分，先對對訪問h1.php後門的ip進行查找，這裡用notepad 進行高級搜索。

發現訪問過h1.php這個webshell的ip地址為113.139.120.102和113.139.121.233。

微步查詢下，查詢發現這兩個惡意ip地址來自陝西西安。

是不是管理員賬號密碼泄露導致的？在後台登錄不成功的情況下，伺服器返回200，那麼返回302的應該是登錄後台成功的，在web日誌中搜索返回302的ip地址，發現早在2月份就有惡意的ip如：211.97.129.145、182.101.58.6等地址確實登錄過網站後台，證明管理員賬號密碼已經泄露。

微步查詢下這兩個ip地址 211.97.129.145、182.101.58.6發現微步收入這兩個ip地址為殭屍網路和垃圾郵件。

211.97.129.145、182.101.58.6這兩個IP地址一個來自福建，一個來自江西，顯然不是跟陝西的攻擊者是一夥的。

現在可以判斷有一夥攻擊者利用管理員賬號密碼登錄後台之後進行各種惡意操作，看下網站，默認安裝頁面沒有刪掉，CMS的類型為SiteServer 3.4.1在烏雲漏洞平台中，該CMS安全問題較多，進入後台之後，許可權很大，可以執行的操作很多。

查看西安的攻擊者113.139.120.102的訪問日誌，發現攻擊者首先訪問了網站後台登錄頁面，伺服器返回200，由此可以看出攻擊者並未登錄後台，之後通過POST操作訪問/siteserver/cms/background_templateAdd.aspx頁面，之後攻擊者寫入T_00\.asp這個後門文件，伺服器返回200，webshell已經生成，大概可以判斷陝西的攻擊者越權利用模板直接寫入了webshell後門。

伺服器版本較老，安全問題較多，同時網站版本也較老，漏洞較多，存在多個不同的攻擊者，利用不同的手法控制網站，先對發現的較為明顯的問題進行處理，並進行觀察。

0x02 攻擊復現

果然不久之後，客戶再次反饋網站再次被上傳webshell，並繞過WAF對網站進行了篡改。查看IIS日誌和WAF日誌，發現有陝西的攻擊者同樣利用background_templateAdd.aspx頁面進行webshell上傳。

好了，現在確定攻擊者應該是利用background_templateAdd.aspx頁面上傳的後門，用fiddler抓取訪問siteserver/cms/background_templateAdd.aspx?PublishmentSystemID=1的數據包。查看響應頭，發現響應頭為302，將其重定向到登錄失敗頁面。

接著看下返回的頁面信息，果然返回了background_templateAdd.aspx模板頁面。

正常頁面返回302，黑闊的返回頁面為200，那麼直接將返回頁面修改為200，發現被重定向到initialization.aspx頁面，之後重定向到登錄頁面，依舊無法控制模板寫入後門。

繼續查看返回的background_templateAdd.aspx頁面，發現結尾處有這麼一段js代碼。

好了，接著寫入黑闊使用的一句話，重複抓包，並用過狗菜刀連接之，成功連接webshell。

0x03 攻擊溯源

在提取日誌的過程中，發現有個名為黑客浩神的留下了裝13的txt文件。

*******5，卧槽，太囂張了，針對此QQ號，進行一波社工，百度一下，發現浩神所到之處，果然寸草不生。

順藤摸瓜，找到攻擊者的博客

根據域名對黑客浩神的信息進行查詢，發現註冊姓名為liang *hao（梁*浩），郵箱為24******[email protected]，聯繫電話為186****8568、155****1651，地址陝西省西安市長安區。

反查該郵箱號，發現其註冊過2個域名：haohacker.com和haos666.com。

浩神的故鄉為河南，延津職高也位於河南，延津職高可能為曾經就讀過的學校。

查了下浩神的QQ，好牛B啊，黑客團隊白晝安全小組創始人，王者團隊成員，QQ上標註故鄉為河南商丘永城市，證明浩神確實應該是河南人。

還是王者團隊成員

浩神的新浪微博：，看來此人目前確實是在陝西西安，1998年小朋友，果然「年輕有為」啊。

谷歌搜索浩神技術團隊，就先看下第一條吧，ngte.nske.ru/index.html的網站快照，牛X啊，做黑產的。

搜索梁*浩和浩神的域名，發現以前的快照頁面依舊存在，梁*浩LOVE馬*婷，馬**是你喜歡的妹子？不過目前基本可以確定浩神的真名為梁*浩。

再來看一張支付寶的

好了，先這樣吧，整理下收集到的浩神的信息：

姓名：梁*浩

出生時間：1998年-199*年

手機1:186****8568

手機2:155****1651

支付寶賬號：24*******[email protected]，159****0398

百度賬號：浩浩帶你飛丨

註冊域名：

註冊域名：

現居地：陝西省西安市長安區

故鄉：河南商丘永城市

可能就讀的學校：延津職高

喜歡的妹子：馬**

白晝團隊交流群 ：141036908

可能相關的網站：

******5