反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

安装完phpStudy，MySQL默认密码不修改，默认用户密码为root，因为啥？等黑客上钩啊！

黑客IP:123.249.34.172

百度查询结果：贵州省黔西南布依族苗族自治州兴义市 电信

首先，来一张该IP地址所属小黑的桌面截图

文件夹1--木马、FTP程序、包含phpmyadmin弱口令的文件、算了自己看吧

菜刀（绝逼右后门的），访问了两个，确实存在的

dz爆破--用于爆破discuz论坛程序存在的用户名密码的工具，先遍历uid（没记错吧）0-N然后获取每个id的用户名再去挨个爆破，下图就是这个程序

来看看他的爆破结果

Url:http://www.xiazy.net/
User:q198046马赛克
Pass:a123456Url:http://www.xiazy.net/
User:kk马赛克
Pass:123456Url:http://www.xiazy.net/
User:xiaz马赛克
Pass:a123456Url:http://www.xiazy.net/
User:Ja马赛克
Pass:123456Url:http://www.xiazy.net/
User:liu马赛克
Pass:123456Url:http://www.2cifang.com/
User:g马赛克
Pass:a123456Url:http://www.chinapyg.com/
User:飘马赛克
Pass:888888Url:http://www.chinapyg.com/
User:海马赛克
Pass:111111Url:http://www.chinapyg.com/
User:hy马赛克
Pass:admin888Url:http://www.chinapyg.com/
User:jc马赛克
Pass:123456Url:http://www.chinapyg.com/
User:n马赛克
Pass:88888888Url:http://www.chinapyg.com/
User:CR马赛克
Pass:a123456Url:http://www.68xi.com/
User:peng马赛克
Pass:123456Url:http://www.68xi.com/
User:night马赛克
Pass:a123456Url:http://www.nbegame.net/
User:aq5马赛克
Pass:a123456Url:https://bbs.egamew.com/
User:q294马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sea马赛克
Pass:123456Url:https://bbs.egamew.com/
User:1马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sil马赛克
Pass:123456Url:https://bbs.egamew.com/
User:l马赛克
Pass:123456Url:http://huyouxiong.com/
User:hbs马赛克
Pass:123456Url:http://www.souho.net/
User:626马赛克
Pass:123456Url:http://www.souho.net/
User:li马赛克
Pass:123456Url:http://www.souho.net/
User:zuo马赛克
Pass:a123456Url:http://www.souho.net/
User:jiu马赛克
Pass:111111Url:http://www.souho.net/
User:bz马赛克
Pass:111111

为了保证这些账号不被浏览该内容的人滥用，人工马赛克了......

IDMan---纳尼？？？

UPUPW----集成环境

wz---挂机宝？？？？

来看图，顺便小黑的手机号也有了

多线程批量破解--phpmyadmin批量爆破的

去重复--肯定是数据去重复的了..

弱口令利用--phpmyadmin弱口令利用工具，直接写shell

上边的图不用我说各位也看懂了吧，相对来讲真的挺多了

新建文件夹--gh0st改版的远控

来看看在我打开的同时上线的主机（应该不是全部）

域名采集器--根据关键字采集域名的

config.php--myshuo.com MyShuo,正品商城,官方旗舰店数据库配置文件，里边包含数据库密码，目测已被脱裤

目测首页已被修改

用他本机安装的navicat测试了下，可以连接，但我可没动里边数据哈，不信的话这种第三方数据库都是有日志审计的，不信去看日志...

fanwe.sql--不用多说，那个一元夺宝的数据库

剩下的就是没用的东西了，下边开始翻这台机子上小黑的个人痕迹和个人信息

C:\Users\Administrator\AppData\Roaming\Tencent\QQDownload目录下发现QQ号码

QQ：4255268110

通过Google搜索该QQ邮箱发现在2015年6月6日就有国外用户在某站点发帖求助，中了病毒

链接：

https://forum.viry.cz/viewtopic.php?f=13&t=148389

http://www.forospyware.com/t508252.html

在C:\Users\Administrator\Documents\Navicat\MySQL\Servers目录下发现小黑连接过的MySQL服务器连接

地址：rm-j6cynn3马赛克o.mysql.rds.aliyuncs.com

这个目录让我很疑惑，他桌面有方维的cms和数据库，这个数据库里也有，两种可能

1.其他厂商的数据库和代码被小黑脱了

2.小黑自己在阿里云买的

小黑安装过QQ管家，但不是为何又卸载了，可能黑客工具报毒吧...

来看下administrator的信息

用户名 Administrator 全名 注释 管理计算机(域)的内置帐户 用户的注释 国家/地区代码 000 (系统默认值) 帐户启用 Yes 帐户到期 从不 上次设置密码 2018/8/16 22:49:36 密码到期 2018/9/27 22:49:36 密码可更改 2018/8/16 22:49:36 需要密码 Yes 用户可以更改密码 Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 2018/8/27 8:49:21 可允许的登录小时数 All 本地组成员 *Administrators 全局组成员 *None 命令成功完成。 机子应该是2018/8/16 22:49:36左右开始使用的，因为只有一个默认administrator用户

系统是虚拟机

可以看出是Hyper-V，

或许是买的vps然后买了多个公网IP给虚拟机配置的公网IP？但是通过查询IP看，也有可能是ASDL拨号，乱了，分不清了

也许是去睡觉了，但是还在爆破

Windows系统日志没有任何东西，当然也不会有，因为这是虚拟机，不是远程桌面登录的

好了，现在来总结下信息

IP: 123.249.34.172

百度: 贵州省黔西南布依族苗族自治州兴义市 电信

ASN: 4314

QQ： 4255268110

手机：18666648024

归属: 广东 潮州 中国联通

远控：Gh0st修改的，名称:低调 & 大叔

攻击方式：利用域名采集程序根据关键字UPUPW进行采集，再批量扫描phpmyadmin弱口令工具A进行批量爆破，爆破后利用工具B进行写webshell，猜测木马是手工种的，很有可能在被入侵服务器上运行了那个类似挂机宝的程序，目前该黑客一爆破出近千个弱口令账户，危害极大

注意：以上的QQ或者或者手机号码信息可能不准确

我说下哈，警察同志要抓人的话就去抓，别抓我就行，最好也不要联系我，我可没动任何东西......

文章转载自：微步在线情报社区 作者：匿名