专栏首页HACK学习反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

安装完phpStudy,MySQL默认密码不修改,默认用户密码为root,因为啥?等黑客上钩啊!

黑客IP:123.249.34.172

百度查询结果:贵州省黔西南布依族苗族自治州兴义市 电信

首先,来一张该IP地址所属小黑的桌面截图

文件夹1--木马、FTP程序、包含phpmyadmin弱口令的文件、算了自己看吧

菜刀(绝逼右后门的),访问了两个,确实存在的

dz爆破--用于爆破discuz论坛程序存在的用户名密码的工具,先遍历uid(没记错吧)0-N然后获取每个id的用户名再去挨个爆破,下图就是这个程序

来看看他的爆破结果

Url:http://www.xiazy.net/
User:q198046马赛克
Pass:a123456Url:http://www.xiazy.net/
User:kk马赛克
Pass:123456Url:http://www.xiazy.net/
User:xiaz马赛克
Pass:a123456Url:http://www.xiazy.net/
User:Ja马赛克
Pass:123456Url:http://www.xiazy.net/
User:liu马赛克
Pass:123456Url:http://www.2cifang.com/
User:g马赛克
Pass:a123456Url:http://www.chinapyg.com/
User:飘马赛克
Pass:888888Url:http://www.chinapyg.com/
User:海马赛克
Pass:111111Url:http://www.chinapyg.com/
User:hy马赛克
Pass:admin888Url:http://www.chinapyg.com/
User:jc马赛克
Pass:123456Url:http://www.chinapyg.com/
User:n马赛克
Pass:88888888Url:http://www.chinapyg.com/
User:CR马赛克
Pass:a123456Url:http://www.68xi.com/
User:peng马赛克
Pass:123456Url:http://www.68xi.com/
User:night马赛克
Pass:a123456Url:http://www.nbegame.net/
User:aq5马赛克
Pass:a123456Url:https://bbs.egamew.com/
User:q294马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sea马赛克
Pass:123456Url:https://bbs.egamew.com/
User:1马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sil马赛克
Pass:123456Url:https://bbs.egamew.com/
User:l马赛克
Pass:123456Url:http://huyouxiong.com/
User:hbs马赛克
Pass:123456Url:http://www.souho.net/
User:626马赛克
Pass:123456Url:http://www.souho.net/
User:li马赛克
Pass:123456Url:http://www.souho.net/
User:zuo马赛克
Pass:a123456Url:http://www.souho.net/
User:jiu马赛克
Pass:111111Url:http://www.souho.net/
User:bz马赛克
Pass:111111

为了保证这些账号不被浏览该内容的人滥用,人工马赛克了......

IDMan---纳尼???

UPUPW----集成环境

wz---挂机宝????

来看图,顺便小黑的手机号也有了

多线程批量破解--phpmyadmin批量爆破的

去重复--肯定是数据去重复的了..

弱口令利用--phpmyadmin弱口令利用工具,直接写shell

上边的图不用我说各位也看懂了吧,相对来讲真的挺多了

新建文件夹--gh0st改版的远控

来看看在我打开的同时上线的主机(应该不是全部)

域名采集器--根据关键字采集域名的

config.php--myshuo.com MyShuo,正品商城,官方旗舰店数据库配置文件,里边包含数据库密码,目测已被脱裤

目测首页已被修改

用他本机安装的navicat测试了下,可以连接,但我可没动里边数据哈,不信的话这种第三方数据库都是有日志审计的,不信去看日志...

fanwe.sql--不用多说,那个一元夺宝的数据库

剩下的就是没用的东西了,下边开始翻这台机子上小黑的个人痕迹和个人信息

C:\Users\Administrator\AppData\Roaming\Tencent\QQDownload目录下发现QQ号码

QQ:4255268110

通过Google搜索该QQ邮箱发现在2015年6月6日就有国外用户在某站点发帖求助,中了病毒

链接:

https://forum.viry.cz/viewtopic.php?f=13&t=148389

http://www.forospyware.com/t508252.html

在C:\Users\Administrator\Documents\Navicat\MySQL\Servers目录下发现小黑连接过的MySQL服务器连接

地址:rm-j6cynn3马赛克o.mysql.rds.aliyuncs.com

这个目录让我很疑惑,他桌面有方维的cms和数据库,这个数据库里也有,两种可能

1.其他厂商的数据库和代码被小黑脱了

2.小黑自己在阿里云买的

小黑安装过QQ管家,但不是为何又卸载了,可能黑客工具报毒吧...

来看下administrator的信息

用户名 Administrator 全名 注释 管理计算机(域)的内置帐户 用户的注释 国家/地区代码 000 (系统默认值) 帐户启用 Yes 帐户到期 从不 上次设置密码 2018/8/16 22:49:36 密码到期 2018/9/27 22:49:36 密码可更改 2018/8/16 22:49:36 需要密码 Yes 用户可以更改密码 Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 2018/8/27 8:49:21 可允许的登录小时数 All 本地组成员 *Administrators 全局组成员 *None 命令成功完成。 机子应该是2018/8/16 22:49:36左右开始使用的,因为只有一个默认administrator用户

系统是虚拟机

可以看出是Hyper-V,

或许是买的vps然后买了多个公网IP给虚拟机配置的公网IP?但是通过查询IP看,也有可能是ASDL拨号,乱了,分不清了

也许是去睡觉了,但是还在爆破

Windows系统日志没有任何东西,当然也不会有,因为这是虚拟机,不是远程桌面登录的

好了,现在来总结下信息

IP: 123.249.34.172

百度: 贵州省黔西南布依族苗族自治州兴义市 电信

ASN: 4314

QQ: 4255268110

手机:18666648024

归属: 广东 潮州 中国联通

远控:Gh0st修改的,名称:低调 & 大叔

攻击方式:利用域名采集程序根据关键字UPUPW进行采集,再批量扫描phpmyadmin弱口令工具A进行批量爆破,爆破后利用工具B进行写webshell,猜测木马是手工种的,很有可能在被入侵服务器上运行了那个类似挂机宝的程序,目前该黑客一爆破出近千个弱口令账户,危害极大

注意:以上的QQ或者或者手机号码信息可能不准确

我说下哈,警察同志要抓人的话就去抓,别抓我就行,最好也不要联系我,我可没动任何东西......

文章转载自:微步在线情报社区 作者:匿名

本文分享自微信公众号 - HACK学习呀(Hacker1961X),作者:HACK学习

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-09-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 树莓派全家福

    Raspberry Pi(树莓派)是为学习计算机编程教育而设计,只有信用卡大小的微型电脑。自问世以来,受众多计算机发烧友和创客的追捧。从第一枚树莓派发布至今,已...

    HACK学习
  • 实战 | Python 编写端口扫描器

    本篇学习笔记将记录使用 python 编写 Scan 的学习路线,记录整个 python 扫描器的编写过程,记录从第一行代码到最新版本,对每个版本更新用到的技术...

    HACK学习
  • 从零开始系统化的学习写Python爬虫

    主要是记录一下自己写Python爬虫的经过与心得。 同时也是为了分享一下如何能更高效率的学习写爬虫。 IDE:Vscode Python版本: 3.6

    HACK学习
  • 前端学习 第1周 第4天

    Joel
  • 1-学习STM32+WIFI(STM32+WIFI开发板介绍)

    杨奉武
  • 「小程序JAVA实战」小程序视频列表到详情功能(58)

    PS: 页面的跳转传值在html和jsp开发中也比较普遍,千万不要有老铁通过缓存的方式传值,可以是可以但是不清晰了。

    IT故事会
  • 如何制作中文文字云

        有很多英文文字云的生成工具,但是中文的似乎比较少哦。网上传说的网站似乎是被墙了,不过最近找到的这个并没有。

    钱塘小甲子
  • React 16.8发布了

    hooks 可以让你在不编写类的情况下使用 state 和 React 的其他功能。你还可以构建自己的 hooks,在组件之间共享可重用的有状态逻辑。

    grain先森
  • 干货 | 全方位解读全景分割技术, 从任务定义到网络构建与预测

    AI 科技评论按,本文作者刘环宇,系浙江大学控制科学与工程自动化系硕士,旷视科技研究院算法研究员,全景分割算法 OANet 第一作者,研究方向包括全景分割、语义...

    AI科技评论
  • 一名数据科学家的新年计划

    介绍 新的一年不仅仅意味着换一本新台历或者揉着眼睛在下一个清晨醒来。新的一年应该拥有一个新开端的喜悦,它赋予我们充分的理由去养成新习惯,也标志着新“希望”的到...

    灯塔大数据

扫码关注云+社区

领取腾讯云代金券