前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

作者头像
HACK学习
发布2019-08-07 14:39:00
3K0
发布2019-08-07 14:39:00
举报
文章被收录于专栏:HACK学习

安装完phpStudy,MySQL默认密码不修改,默认用户密码为root,因为啥?等黑客上钩啊!

黑客IP:123.249.34.172

百度查询结果:贵州省黔西南布依族苗族自治州兴义市 电信

首先,来一张该IP地址所属小黑的桌面截图

文件夹1--木马、FTP程序、包含phpmyadmin弱口令的文件、算了自己看吧

菜刀(绝逼右后门的),访问了两个,确实存在的

dz爆破--用于爆破discuz论坛程序存在的用户名密码的工具,先遍历uid(没记错吧)0-N然后获取每个id的用户名再去挨个爆破,下图就是这个程序

来看看他的爆破结果

代码语言:javascript
复制
Url:http://www.xiazy.net/
User:q198046马赛克
Pass:a123456Url:http://www.xiazy.net/
User:kk马赛克
Pass:123456Url:http://www.xiazy.net/
User:xiaz马赛克
Pass:a123456Url:http://www.xiazy.net/
User:Ja马赛克
Pass:123456Url:http://www.xiazy.net/
User:liu马赛克
Pass:123456Url:http://www.2cifang.com/
User:g马赛克
Pass:a123456Url:http://www.chinapyg.com/
User:飘马赛克
Pass:888888Url:http://www.chinapyg.com/
User:海马赛克
Pass:111111Url:http://www.chinapyg.com/
User:hy马赛克
Pass:admin888Url:http://www.chinapyg.com/
User:jc马赛克
Pass:123456Url:http://www.chinapyg.com/
User:n马赛克
Pass:88888888Url:http://www.chinapyg.com/
User:CR马赛克
Pass:a123456Url:http://www.68xi.com/
User:peng马赛克
Pass:123456Url:http://www.68xi.com/
User:night马赛克
Pass:a123456Url:http://www.nbegame.net/
User:aq5马赛克
Pass:a123456Url:https://bbs.egamew.com/
User:q294马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sea马赛克
Pass:123456Url:https://bbs.egamew.com/
User:1马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sil马赛克
Pass:123456Url:https://bbs.egamew.com/
User:l马赛克
Pass:123456Url:http://huyouxiong.com/
User:hbs马赛克
Pass:123456Url:http://www.souho.net/
User:626马赛克
Pass:123456Url:http://www.souho.net/
User:li马赛克
Pass:123456Url:http://www.souho.net/
User:zuo马赛克
Pass:a123456Url:http://www.souho.net/
User:jiu马赛克
Pass:111111Url:http://www.souho.net/
User:bz马赛克
Pass:111111

为了保证这些账号不被浏览该内容的人滥用,人工马赛克了......

IDMan---纳尼???

UPUPW----集成环境

wz---挂机宝????

来看图,顺便小黑的手机号也有了

多线程批量破解--phpmyadmin批量爆破的

去重复--肯定是数据去重复的了..

弱口令利用--phpmyadmin弱口令利用工具,直接写shell

上边的图不用我说各位也看懂了吧,相对来讲真的挺多了

新建文件夹--gh0st改版的远控

来看看在我打开的同时上线的主机(应该不是全部)

域名采集器--根据关键字采集域名的

config.php--myshuo.com MyShuo,正品商城,官方旗舰店数据库配置文件,里边包含数据库密码,目测已被脱裤

目测首页已被修改

用他本机安装的navicat测试了下,可以连接,但我可没动里边数据哈,不信的话这种第三方数据库都是有日志审计的,不信去看日志...

fanwe.sql--不用多说,那个一元夺宝的数据库

剩下的就是没用的东西了,下边开始翻这台机子上小黑的个人痕迹和个人信息

C:\Users\Administrator\AppData\Roaming\Tencent\QQDownload目录下发现QQ号码

QQ:4255268110

通过Google搜索该QQ邮箱发现在2015年6月6日就有国外用户在某站点发帖求助,中了病毒

链接:

https://forum.viry.cz/viewtopic.php?f=13&t=148389

http://www.forospyware.com/t508252.html

在C:\Users\Administrator\Documents\Navicat\MySQL\Servers目录下发现小黑连接过的MySQL服务器连接

地址:rm-j6cynn3马赛克o.mysql.rds.aliyuncs.com

这个目录让我很疑惑,他桌面有方维的cms和数据库,这个数据库里也有,两种可能

1.其他厂商的数据库和代码被小黑脱了

2.小黑自己在阿里云买的

小黑安装过QQ管家,但不是为何又卸载了,可能黑客工具报毒吧...

来看下administrator的信息

用户名 Administrator 全名 注释 管理计算机(域)的内置帐户 用户的注释 国家/地区代码 000 (系统默认值) 帐户启用 Yes 帐户到期 从不 上次设置密码 2018/8/16 22:49:36 密码到期 2018/9/27 22:49:36 密码可更改 2018/8/16 22:49:36 需要密码 Yes 用户可以更改密码 Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 2018/8/27 8:49:21 可允许的登录小时数 All 本地组成员 *Administrators 全局组成员 *None 命令成功完成。 机子应该是2018/8/16 22:49:36左右开始使用的,因为只有一个默认administrator用户

系统是虚拟机

可以看出是Hyper-V,

或许是买的vps然后买了多个公网IP给虚拟机配置的公网IP?但是通过查询IP看,也有可能是ASDL拨号,乱了,分不清了

也许是去睡觉了,但是还在爆破

Windows系统日志没有任何东西,当然也不会有,因为这是虚拟机,不是远程桌面登录的

好了,现在来总结下信息

IP: 123.249.34.172

百度: 贵州省黔西南布依族苗族自治州兴义市 电信

ASN: 4314

QQ: 4255268110

手机:18666648024

归属: 广东 潮州 中国联通

远控:Gh0st修改的,名称:低调 & 大叔

攻击方式:利用域名采集程序根据关键字UPUPW进行采集,再批量扫描phpmyadmin弱口令工具A进行批量爆破,爆破后利用工具B进行写webshell,猜测木马是手工种的,很有可能在被入侵服务器上运行了那个类似挂机宝的程序,目前该黑客一爆破出近千个弱口令账户,危害极大

注意:以上的QQ或者或者手机号码信息可能不准确

我说下哈,警察同志要抓人的话就去抓,别抓我就行,最好也不要联系我,我可没动任何东西......

文章转载自:微步在线情报社区 作者:匿名

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-09-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 HACK学习呀 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云数据库 SQL Server
腾讯云数据库 SQL Server (TencentDB for SQL Server)是业界最常用的商用数据库之一,对基于 Windows 架构的应用程序具有完美的支持。TencentDB for SQL Server 拥有微软正版授权,可持续为用户提供最新的功能,避免未授权使用软件的风险。具有即开即用、稳定可靠、安全运行、弹性扩缩等特点。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档