看过录像的朋友大概都知道了事情后面一部分经过,至于前面几次,我大概说一下吧:
2004年9月16日,例行检查,发现bbs有恶意注册多个用户,并上传多个asp木马的jpg、gif后缀文件,锁定用户,删除图片。
2004年9月17日,发现xy2论坛首页被人修改,内嵌了偷取帐户的木马程序,最后就是多次修复,再被修改,再修复。
在这已经发现是服务器的问题了,但是没有办法,所以备份数据后,停止更新网站。
2004年9月18日,网站首页被改,随后又是多次被篡改,因为管理员周末休息,我又不能像攻击者一样去控制服务器权限,所以也没什么解决办法。
随后就是一些服务器上其他网站被恶意修改。
事实上我从租用这里的虚拟空间开始,就已经提醒过管理员相关问题,在随后的时间里,也有朋友善意提醒过类似问题,但因为工作繁忙,加之非自身能力范围内的事情,也就没有再管,但是自己知道网站被黑只是迟早的问题,所以一般每天都会备份一下网站内容。
至于这此事件,没什么好说的,我也懒得找你麻烦,你自己好自为之吧。
以下是一些聊天记录,有兴趣的朋友可以看看:
打消我找麻烦的谈话:
2004-09-20 15:33:52 阿酷
如果有确凿的证据
你会不会?
2004-09-20 15:34:30 ***
有必要吗?
2004-09-20 15:35:02 阿酷
我一直在考虑这个问题
你说说为什么没必要
2004-09-20 15:36:16 ***
我正事多的呢 干吗为这犯神
2004-09-20 15:37:48 阿酷
倒也是
2004-09-20 15:38:03 ***
一个小p站 我大不了不开了。。
2004-09-20 15:39:20 阿酷
呵呵
挣钱要紧
2004-09-20 15:41:29 阿酷
我手头有足够的证据把那小子整死
不过一直在犹豫有没有必要
2004-09-20 15:45:13 ***
你的闲功夫可真多啊。。。
2004-09-20 15:46:33 阿酷
主要是那小子太可气
居然放话给我朋友
说他的坛子开到那里,就黑到那里
强吧!
我朋友的坛子挂在我的空间下
2004-09-20 15:47:04 ***
我日啊 你弄安全他不就牛白吹了
2004-09-20 15:48:14 阿酷
问题是安全不是掌握在我的手里啊
又不是我的服务器,我在我的权限下已经做得足够安全了,一般的小jb哪能进来啊
2004-09-20 15:48:35 ***
你找isp那傻b网管啊
2004-09-20 15:49:31 阿酷
我早八十年前就给他们说过其他网站的漏洞了
包括可能的危害等等
他jb不管,我也没辙啊
我总不能天天盯着这事啊
2004-09-20 15:51:20 ***
你把数据给他们删光 看其他用户找不找他。。。
2004-09-20 15:51:42 阿酷
我的爷
你不想让我活了啊
2004-09-20 15:55:40 ***
哈哈 关站算垃。。。 安心赚点钱养老婆吧
2004-09-20 15:58:37 阿酷
http://www.coolersky.com/
你够狠
2004-09-20 16:00:21 ***
真的意义不大
2004-09-20 16:00:43 阿酷
玩玩吧
总要有些事情做
2004-09-20 16:02:52 ***
问题是你玩不起啊。。
2004-09-20 16:03:22 阿酷
不管那么多了
2004-09-20 16:04:50 ***
再说了 人家黑你网站 你把人家告了 在业界还咋混啊
2004-09-20 16:07:12 阿酷
呵呵
倒也是,我就不找他麻烦了
不过我的分析资料都是从服务器跟网管要得
如果要是isp找他的麻烦,我也管不了啊
2004-09-20 16:07:55 ***
这种事情过去就是了 不用烦什么 本来就是玩的麻
2004-09-20 16:08:16 阿酷
恩
算了,不管了
还是忙工作吧 | 攻击及分析历程
2004-09-17 20:04:55 阿酷
攻击者来自*.*.*.*
2004-09-17 20:05:01 阿酷
是包头的
2004-09-17 20:05:36
怎么知道的?
2004-09-17 20:05:57 阿酷
他在我的论坛里用的是同一ip
2004-09-17 20:06:23 阿酷
你那里传玩了没有?
2004-09-17 20:06:28
OK~~在数据库里面查查哪个帐号用这个IP登陆
2004-09-17 20:06:37
还没传[表情>
2004-09-17 20:06:49 阿酷
...
2004-09-17 20:07:42
[表情>现在开始传
2004-09-17 20:08:02 阿酷
狂魔天敌
2004-09-17 20:08:09 阿酷
狂魔天敌 www.yingwei_528@163.com 编辑 修复 *.*.*.*
2004-09-17 20:08:22
[表情>还有别的帐号从这个IP登陆不
2004-09-17 20:08:32 阿酷
狂魔天敌 www.yingwei_528@163.com 编辑 修复 *.*.*.* 2004-9-17
2004-09-17 20:08:53 阿酷
金剑神龙 1321321@163.com 编辑 修复 *.*.*.* 2004-9-15
寒羽良 hanyulang@163.com 编辑 修复 *.*.*.* 2004-9-15
781195 32132132@163.com 编辑 修复 *.*.*.* 2004-9-15
2004-09-17 20:09:40 阿酷
看来是你给我惹得麻烦噢
他想盗号
2004-09-17 20:10:10
你确定是这个地址有问题?
2004-09-17 20:10:18 阿酷
确定
2004-09-17 20:10:24
如何确定的?
2004-09-17 20:10:42 阿酷
丫的!
2004-09-17 20:11:05
呵呵~~~告诉我啊~~~我要找这几个人[表情>
2004-09-17 20:11:27 阿酷
aaa781195 2132131@163.com 编辑 修复 *.*.*.*
2004-09-17 20:12:25 阿酷
aa781195 1321321@163.com 编辑 修复 *.*.*.* 2004-9-16
a781195 132135@163.com 编辑 修复 *.*.*.* 2004-9-15
781195 1231@163.com 编辑 修复 *.*.*.* 2004-9-16
2004-09-17 20:12:37
说说是怎么确定这个地址有问题的?
2004-09-17 20:12:47 阿酷
而且有个图片木马就是其中一个用户的头像
2004-09-17 20:13:21
你那的图片还是我这的图片[表情>我这的图片没查出有木马啊
2004-09-17 20:13:33 阿酷
我那里的
2004-09-17 20:13:44 阿酷
后面这几个用户都是我的
2004-09-17 20:13:50 阿酷
前面4个是你的
2004-09-17 20:14:10 阿酷
这两天自己多操点心
可能还会再来的
2004-09-17 20:14:14
那就是说从这个地址请求的hacker.asp拉
2004-09-17 20:14:38 阿酷
应该是没有问题的
这个需要看日志,我去看看
2004-09-17 20:15:25
恩
2004-09-17 20:19:40
按道理不管怎么样~~这个IP是肯定跟攻击者有关拉
2004-09-17 20:19:50 阿酷
恩
2004-09-17 20:21:26
我找他们[表情>
2004-09-17 20:21:37 阿酷
你认识?>
2004-09-17 20:21:44
游戏里的ID
2004-09-17 21:22:11 阿酷
我回家了
晚上帮忙盯着点
2004-09-17 23:56:14 阿酷
吃饭去了
2004-09-17 23:56:20
[表情> 还没吃的
2004-09-17 23:56:53 阿酷
不管你了
吃饭要紧
2004-09-17 23:56:59
[表情> 吃好
2004-09-18 01:31:55
又出问题了[表情>
2004-09-18 01:32:04 阿酷
?
2004-09-18 01:32:12
病毒[表情>
2004-09-18 01:32:36 阿酷
文件夹没动啊
2004-09-18 01:32:48
但是文件动了[表情>
2004-09-18 01:32:57 阿酷
呵呵
2004-09-18 01:33:17
服务器上肯定有病毒[表情>
2004-09-18 01:33:32 阿酷
应该不是服务器吧
2004-09-18 01:33:40
那是什么[表情>
2004-09-18 01:34:11 阿酷
要不为什么只有你的论坛有?
2004-09-18 01:34:27
那是为什么[表情> 你给解释解释
2004-09-18 01:42:00 阿酷
应该是服务器上有其他木马
2004-09-18 01:42:34
[表情> 那为什么你的就没事我的还有事啊[表情>
2004-09-18 01:42:58 阿酷
因为他想记录你们的信息吧
呵呵
2004-09-18 01:43:47
[表情>郁闷~~~我把整个目录改名算了
2004-09-18 01:44:45 阿酷
改名我估计也没戏
2004-09-18 01:45:08
[表情>气愤
2004-09-18 01:53:14 阿酷
??
2004-09-18 01:53:41
郁闷啊[表情>
2004-09-18 01:54:20 阿酷
呵呵
我也晕的要死
他的连接地址是网易的免费空间
2004-09-18 01:54:33
是啊
2004-09-18 01:55:45 阿酷
*.*.*.*
你扫描一下这个地址
2004-09-18 01:56:09
没工具[表情>
怎么
2004-09-18 01:56:17 阿酷
....
2004-09-18 01:56:29
你有什么想法?
2004-09-18 01:57:29 阿酷
没想法
我想把你的论坛删了
呵呵
2004-09-18 01:59:10
这到底是怎么回事呢[表情>只有根目录下的几个文件有问题~~inc下面的又没被修改
2004-09-18 02:01:13 阿酷
恶心啊
你自己搞定吧
2004-09-18 02:01:25
[表情>
2004-09-18 02:01:38 阿酷
再没办法我就干掉你!哈哈
2004-09-18 02:02:25
我现在最想搞清楚的就是~~到底是服务器那边的原因还是论坛的原因
2004-09-18 02:02:47 阿酷
我又没有服务器权限
2004-09-18 02:03:21
奶奶的~~郁闷[表情>
2004-09-18 02:04:04 阿酷
他又修改文件的权限,那么基本可以肯定它还有其他木马
但是不是放在我们的站内的
2004-09-18 02:04:14 阿酷
你不是说要找他们吗?
2004-09-18 02:04:28
人没上线[表情>
2004-09-18 02:04:33 阿酷
...
2004-09-18 02:04:57
我要疯了[表情>
2004-09-18 02:27:53
我怎么都想不明白[表情>为什么你的就好好的
2004-09-18 02:28:14 阿酷
所以嘛
我估计人家就只想搞你
2004-09-18 02:28:17 阿酷
呵呵
2004-09-18 02:28:49
给个理由啊~~怎么搞的啊[表情>
2004-09-18 02:29:27 阿酷
如果他有权限改你的
应该也有权限该我的文件的
2004-09-18 02:30:18
就是呀[表情> 不过从文件修改时间来看有点象程序改的而不是手工改的
2004-09-18 02:31:41 阿酷
恩
很快的
2004-09-18 02:33:29
我决定重新做一次~~~把目录改成XY
2004-09-18 02:33:40 阿酷
我估计没戏
2004-09-18 02:33:43 阿酷
呵呵
2004-09-18 02:34:22
[表情>要~~我跟他耗上了[表情>非得搞清楚
2004-09-18 02:34:29 阿酷
呵呵
2004-09-18 02:34:50 阿酷
妈的
害得我一天提心吊胆的
2004-09-18 02:35:20
我倒要看看是怎么回事[表情>
2004-09-18 14:37:17
??
2004-09-18 14:37:34 阿酷
刚才又被改了?
2004-09-18 14:37:41
是啊[表情>我又恢复了
2004-09-18 14:38:27 阿酷
日
早上我已经给你恢复过一次了
现在登陆不了
2004-09-18 14:39:02
现在可以登陆啊[表情>
你是怎么恢复的?
2004-09-18 14:39:17 阿酷
我用文件覆盖的啊
2004-09-18 14:39:36 阿酷
早上7:18被人改了
2004-09-18 14:39:46 阿酷
我7:40左右恢复的
2004-09-18 14:41:57
那应该是别的服务器里面还是有问题吧[表情>
2004-09-18 14:42:14 阿酷
别的服务器?
2004-09-18 14:43:02
[表情> 咱们服务器
2004-09-18 14:43:16 阿酷
我已经让他们去看了
2004-09-18 14:44:26
[表情> 日他~~~现在是谁在维护服务器啊~~我总觉得问题应该是出在服务器上的
2004-09-18 14:45:06 阿酷
***啊
哈哈
2004-09-18 14:45:26
没什么印象[表情>
2004-09-18 14:47:35 阿酷
现在是我买的空间,我日
2004-09-18 14:47:56
[表情> 多钱买的啊
2004-09-18 14:48:05 阿酷
850
2004-09-18 14:48:17
[表情> 操~也太贵了吧
2004-09-18 14:48:22 阿酷
我日哦
2004-09-18 15:00:27 阿酷
恩
我这边也在看iis日志
你也去下载看看
2004-09-18 15:00:52 阿酷
有个亚说包
2004-09-18 15:01:05
看到了[表情> 已经可以下了吗?
2004-09-18 15:01:27 阿酷
啊
应该可以了吧
不知道,反正我在下了
2004-09-18 15:02:02 阿酷
可以了
2004-09-18 15:04:37
好了~~开始开拉~~我先做事去了~~晚点再看
2004-09-18 15:04:49 阿酷
我现在正在分析
2004-09-18 15:21:38 阿酷
没有问题
已经确定是*.*.*.*干的
2004-09-18 15:21:43 阿酷
日志分析很清楚
2004-09-18 18:14:37
这两天全都是这个地址干的?
2004-09-18 18:18:18
(2004-09-18 18:14:38)
这两天全都是这个地址干的?
2004-09-18 18:58:23 阿酷
en
2004-09-18 18:58:42 阿酷
刚才我的首页还被改了
这都是你欠我的!
2004-09-18 19:03:54 阿酷
你丫的
2004-09-18 19:13:52
你首页怎么被改了[表情>
2004-09-18 19:14:05 阿酷
我日
还不是你
2004-09-18 19:14:19
搞清楚到底是怎么回事了没[表情>
2004-09-18 19:14:41 阿酷
搞清楚了
2004-09-18 19:14:47 阿酷
日志分析的很明确
2004-09-18 19:15:07
说一下?
2004-09-18 19:15:24 阿酷
通过黑客页直接编辑啊!
2004-09-18 19:15:31 阿酷
asp随便就改了
2004-09-18 19:16:26
hacker不是昨天就删了吗
2004-09-18 19:16:36 阿酷
其他的还有
2004-09-18 19:17:05
在什么位置???
那搞清楚最初是怎么进来的没呢
2004-09-18 19:19:20 阿酷
又被该了
2004-09-18 19:22:15
[表情>
2004-09-18 19:22:59
我的没问题啊[表情>
你的又被改了?
2004-09-18 19:23:18 阿酷
呵呵,你的站还叫网络安全呢?自己做好再说吧?我10分钟进入你两次我提配你,没有删除你的数据,请管理员尽快修复
★老黄★
QQ:149084028
2004-09-18 19:24:21
发的EMAIL给你?
2004-09-18 19:24:29 阿酷
首页
2004-09-18 19:25:10
现在首页上的话是你放的?
2004-09-18 19:25:18 阿酷
恩
2004-09-18 19:25:51
到底是怎么搞的有个头绪没有啊
2004-09-18 19:26:13 阿酷
什么头绪
2004-09-18 19:26:56
怎么改的吗?没理由还有ASP文件吧
2004-09-18 19:27:47 阿酷
其他网站里有
不是一样的吗
2004-09-18 19:28:37
那最初是怎么进来的呢~~~搞明白没
2004-09-18 19:28:57 阿酷
他妈的我只有我们站的服务器日志
我怎么分析
靠
2004-09-18 19:29:38
其他站的日志没给?
那个王杀毒没全杀掉吗[表情>
2004-09-18 19:29:58 阿酷
那我怎么知道!现在我没有办法联系到他们
2004-09-18 19:30:49
日哦日~~~郁闷。。。。。。
写个脚本把地址记下来吧
2004-09-18 19:38:07
还是包头那个地址吗[表情>
2004-09-18 19:38:36 阿酷
现在我不知道啊
获得不了日志
2004-09-18 19:42:11
如果还是搞我的那个家伙就估计没那么聪明[表情>
2004-09-18 19:42:54 阿酷
日吧
就昨天那个hacker.asp
随便改服务器上的文件了
还不是你!回头请我吃饭!�?
2004-09-18 19:44:12
[表情>饭是没得跑拉~~
不过是不是我论坛出的毛病先别下定论吧~~我实在想不出我论坛会有什么毛病
2004-09-18 19:44:33 阿酷
最起码你是惹得人家了!
2004-09-18 19:44:45
[表情>
2004-09-18 19:44:50 阿酷
噢对了
你个jb还欠我钱呢
2004-09-18 19:44:58
[表情>是啊
2004-09-18 19:45:32 阿酷
呵呵�?
2004-09-18 19:46:13
[表情>郁闷~~~我们站的记录里面有没有扫描痕迹?
2004-09-18 19:46:43 阿酷
扫描?
扫描就进不来
有火墙
全部是注入测试
2004-09-18 20:23:09
没搞了[表情>
2004-09-18 20:28:48 阿酷
?
怎么了
2004-09-18 20:29:29
我看网站恢复了啊[表情> 没再搞了吗
2004-09-18 20:30:03 阿酷
噢
不知道啊
2004-09-19 15:37:09
站点停了?
2004-09-19 15:37:31 阿酷
恩
不停怎么办?
2004-09-19 15:37:41
又被搞了啊[表情>
2004-09-19 15:38:33 阿酷
那能怎么样
就算是把木马删完,漏洞还是在那啊
2004-09-19 15:39:46
哪来的漏洞啊[表情>
2004-09-19 15:40:26 阿酷
应该不是我们站的
2004-09-19 15:45:29
超级郁闷[表情>那个王也不管?
2004-09-19 15:45:39 阿酷
没法
2004-09-19 16:30:17
这个事情报警了没[表情>
2004-09-19 16:30:39 阿酷
不知道噢
2004-09-19 16:30:59
你不去报谁报啊[表情>
2004-09-19 16:32:03 阿酷
我倒
我到那里报啊�K
2004-09-19 16:32:22
啊哦哦~~
2004-09-19 17:02:46 阿酷
http://hackbase.com/down/41/20040919/5121.htm ;
2004-09-19 17:20:06
cer的文件服务器可以解析吗[表情>有没搞错~~~垃圾站~~那个卖包子的也垃圾~~可以允许上传cer文件
2004-09-19 17:20:15 阿酷
他利用de居然是恩科论坛的
2004-09-19 17:20:24 阿酷
看到没?
sm4
2004-09-19 17:20:38 阿酷
我日他妈啊
老子出来2年了还不放过我啊
2004-09-19 17:35:30
当时看痕迹我就知道是个SB[表情>连hacker.asp这样的文件都留在服务器上~~~
2004-09-19 17:36:02 阿酷
是啊
越是被这种sb黑掉
越tmd不爽啊
2004-09-19 17:36:22
[表情>
2004-09-19 17:52:13 阿酷
http://202.99.232.33/ht/shangwang.htm ;
2004-09-19 17:52:24 阿酷
看到了
这个里面的长春同联公司
2004-09-19 17:52:42 阿酷
他们安装的是这个软件
2004-09-19 18:08:28 阿酷
兴安盟曙光网吧
2004-09-19 18:24:25 阿酷
唉,疯子!
你说是不是你给我找的麻烦?!
2004-09-19 18:44:17 阿酷
再不子啊
2004-09-19 18:44:42
[表情>是的~~~但是归根结底是恩科垃圾
2004-09-19 18:46:11 阿酷
是啊
你说我tmd背不背啊
为他们做了那么多贡献,被逼走了,我都没说什么
被人家误会我黑了他们服务器,我也没说什么
现在八竿子都打不到,还要折腾我。。。
唉
2004-09-19 18:46:25
[表情> 没招
2004-09-19 19:40:49
通知了王给服务器做处理没?
2004-09-19 19:41:17 阿酷
那边值班的5点就下班了
2004-09-19 19:41:26
[表情>
2004-09-19 19:46:53 阿酷
我现在需要休息一下
困死了!
昨晚3:00睡的,一早还去参加婚礼了
2004-09-19 21:32:59
黑网站的公开和我叫板了[表情>
2004-09-19 22:59:38 阿酷
他怎么跟你叫板??
2004-09-19 23:00:28
说放了3次木马~~盗了几个帐号[表情>
还说我再开他又黑[表情>
2004-09-19 23:08:38 阿酷
日倒
2004-09-19 23:09:16
怎么啊[表情>
2004-09-20 01:16:39 阿酷
你还在线?
2004-09-20 01:17:49
[表情>
2004-09-20 01:18:10 阿酷
http://www.dfx-food.com/index.asp ;
2004-09-20 01:18:14 阿酷
还在被黑
2004-09-20 01:19:13 阿酷
呵呵 | |
