反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

安装完phpStudy,MySQL默认密码不修改,默认用户密码为root,因为啥?等黑客上钩啊!

黑客IP:123.249.34.172

百度查询结果:贵州省黔西南布依族苗族自治州兴义市 电信

首先,来一张该IP地址所属小黑的桌面截图

文件夹1--木马、FTP程序、包含phpmyadmin弱口令的文件、算了自己看吧

菜刀(绝逼右后门的),访问了两个,确实存在的

dz爆破--用于爆破discuz论坛程序存在的用户名密码的工具,先遍历uid(没记错吧)0-N然后获取每个id的用户名再去挨个爆破,下图就是这个程序

来看看他的爆破结果

Url:http://www.xiazy.net/
User:q198046马赛克
Pass:a123456Url:http://www.xiazy.net/
User:kk马赛克
Pass:123456Url:http://www.xiazy.net/
User:xiaz马赛克
Pass:a123456Url:http://www.xiazy.net/
User:Ja马赛克
Pass:123456Url:http://www.xiazy.net/
User:liu马赛克
Pass:123456Url:http://www.2cifang.com/
User:g马赛克
Pass:a123456Url:http://www.chinapyg.com/
User:飘马赛克
Pass:888888Url:http://www.chinapyg.com/
User:海马赛克
Pass:111111Url:http://www.chinapyg.com/
User:hy马赛克
Pass:admin888Url:http://www.chinapyg.com/
User:jc马赛克
Pass:123456Url:http://www.chinapyg.com/
User:n马赛克
Pass:88888888Url:http://www.chinapyg.com/
User:CR马赛克
Pass:a123456Url:http://www.68xi.com/
User:peng马赛克
Pass:123456Url:http://www.68xi.com/
User:night马赛克
Pass:a123456Url:http://www.nbegame.net/
User:aq5马赛克
Pass:a123456Url:https://bbs.egamew.com/
User:q294马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sea马赛克
Pass:123456Url:https://bbs.egamew.com/
User:1马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sil马赛克
Pass:123456Url:https://bbs.egamew.com/
User:l马赛克
Pass:123456Url:http://huyouxiong.com/
User:hbs马赛克
Pass:123456Url:http://www.souho.net/
User:626马赛克
Pass:123456Url:http://www.souho.net/
User:li马赛克
Pass:123456Url:http://www.souho.net/
User:zuo马赛克
Pass:a123456Url:http://www.souho.net/
User:jiu马赛克
Pass:111111Url:http://www.souho.net/
User:bz马赛克
Pass:111111

为了保证这些账号不被浏览该内容的人滥用,人工马赛克了......

IDMan---纳尼???

UPUPW----集成环境

wz---挂机宝????

来看图,顺便小黑的手机号也有了

多线程批量破解--phpmyadmin批量爆破的

去重复--肯定是数据去重复的了..

弱口令利用--phpmyadmin弱口令利用工具,直接写shell

上边的图不用我说各位也看懂了吧,相对来讲真的挺多了

新建文件夹--gh0st改版的远控

来看看在我打开的同时上线的主机(应该不是全部)

域名采集器--根据关键字采集域名的

config.php--myshuo.com MyShuo,正品商城,官方旗舰店数据库配置文件,里边包含数据库密码,目测已被脱裤

目测首页已被修改

用他本机安装的navicat测试了下,可以连接,但我可没动里边数据哈,不信的话这种第三方数据库都是有日志审计的,不信去看日志...

fanwe.sql--不用多说,那个一元夺宝的数据库

剩下的就是没用的东西了,下边开始翻这台机子上小黑的个人痕迹和个人信息

C:\Users\Administrator\AppData\Roaming\Tencent\QQDownload目录下发现QQ号码

QQ:4255268110

通过Google搜索该QQ邮箱发现在2015年6月6日就有国外用户在某站点发帖求助,中了病毒

链接:

https://forum.viry.cz/viewtopic.php?f=13&t=148389

http://www.forospyware.com/t508252.html

在C:\Users\Administrator\Documents\Navicat\MySQL\Servers目录下发现小黑连接过的MySQL服务器连接

地址:rm-j6cynn3马赛克o.mysql.rds.aliyuncs.com

这个目录让我很疑惑,他桌面有方维的cms和数据库,这个数据库里也有,两种可能

1.其他厂商的数据库和代码被小黑脱了

2.小黑自己在阿里云买的

小黑安装过QQ管家,但不是为何又卸载了,可能黑客工具报毒吧...

来看下administrator的信息

用户名 Administrator 全名 注释 管理计算机(域)的内置帐户 用户的注释 国家/地区代码 000 (系统默认值) 帐户启用 Yes 帐户到期 从不 上次设置密码 2018/8/16 22:49:36 密码到期 2018/9/27 22:49:36 密码可更改 2018/8/16 22:49:36 需要密码 Yes 用户可以更改密码 Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 2018/8/27 8:49:21 可允许的登录小时数 All 本地组成员 *Administrators 全局组成员 *None 命令成功完成。 机子应该是2018/8/16 22:49:36左右开始使用的,因为只有一个默认administrator用户

系统是虚拟机

可以看出是Hyper-V,

或许是买的vps然后买了多个公网IP给虚拟机配置的公网IP?但是通过查询IP看,也有可能是ASDL拨号,乱了,分不清了

也许是去睡觉了,但是还在爆破

Windows系统日志没有任何东西,当然也不会有,因为这是虚拟机,不是远程桌面登录的

好了,现在来总结下信息

IP: 123.249.34.172

百度: 贵州省黔西南布依族苗族自治州兴义市 电信

ASN: 4314

QQ: 4255268110

手机:18666648024

归属: 广东 潮州 中国联通

远控:Gh0st修改的,名称:低调 & 大叔

攻击方式:利用域名采集程序根据关键字UPUPW进行采集,再批量扫描phpmyadmin弱口令工具A进行批量爆破,爆破后利用工具B进行写webshell,猜测木马是手工种的,很有可能在被入侵服务器上运行了那个类似挂机宝的程序,目前该黑客一爆破出近千个弱口令账户,危害极大

注意:以上的QQ或者或者手机号码信息可能不准确

我说下哈,警察同志要抓人的话就去抓,别抓我就行,最好也不要联系我,我可没动任何东西......

文章转载自:微步在线情报社区 作者:匿名

原文发布于微信公众号 - HACK学习呀(Hacker1961X)

原文发表时间:2018-09-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券