怎样反向找到钓鱼邮件的后台

技术篇 从“公司账单请查收”邮件到大量被盗帐号 注明：这是我多年前的一次反追查钓鱼邮件的过程了，欢迎交流，轻喷~

公司账单请查收

最近公司有同事收到这封邮件

里面包含一个附件 “公司账单请查收”

下载并打开附件可以看到：

在这里插入图片描述

收到邮件的是公司的行政，本想打开的，但看到文件有点不一样，于是找我看了下。

不看不知道，一看吓一跳呀~

因为文件后缀是.dll 、 .exe 的，所以敏感的推断很可能是病毒！

验证我的推断

接下来，用了最简单的方式，验证我的推断：

用记事本打开 “相册.exe”，然后在内容中查找“http”

在这里插入图片描述

（为什么要查找“http”呢？这是为了找出一个传送数据的网址，因为这是一种比较简单的数据传送方式，通过GET或者POST来提交，不容易被判断为病毒！）

结果，和预计的一样，找到了一个网址！

请添加图片描述

初步推测这个是病毒盗取账号密码后，用来记录数据的！

于是直接打开这个所在的网站：http://www.ac*cau.com

结果发现是一个澳门***议员服务的网站！感觉这个网站应该和盗号没直接关系。

所以推测这个网站应该也是被这个盗号的人入侵了！然后利用这个网站来进行盗号。

进入后台

为了查看该网址对应的ASP程序文件所编写的内容

以进一步证实这附件真的会盗号！于是，对网站进行一系列的检测：

在这里插入图片描述

发现是用简单的文件系统搭建的管理后台

在这里插入图片描述

通过后台发现，这个盗号的人，已经把这个网站平台当成了自己家一样了！！

不但利用这网站盗号，还有挂了招收学徒的网页！

http://www.ac*cau.com/Upfile/image/zhanshen.asp

还放了各种后门：

http://www.ac*cau.com/Upfile/image/sssy.asp

http://www.ac*cau.com/Upfile/image/qw.asp

http://www.ac*cau.com/Upfile/upload_pic/dyteam.asp （fuck）

http://www.ac*cau.com/Upfile/image/yi.asp

三、通过后台漏洞找到编辑权限，并查看文件内容

在这里插入图片描述

来到这一步，虽然已经可以看到这个网址所编写的代码！

但是，出乎意外的是，从代码可以看出，这只是一块跳板！

所有数据信息并不是记录在这个网站下的，也就是说写这个病毒的人其实还做了一度保护防线，防止别人直接找到数据存储位置，因此目前还不能找到有多少受害者！

继续思考！

怎样才能看到它真正的记录地址？

怎样才能知道哪些号被盗了？

怎样才能知道盗号者到底把盗来的帐号记录在哪里？

在实在无计可施的情况下，为了能找到它真正的地址

我尝试改写他的跳板文件，然后在服务端记录他提交上来的参数！

改写代码如下：

在这里插入图片描述

结果！10分钟内，就出现了 一堆～～

没错！是一堆 被盗的帐号密码和跳转真实IP！

在这里插入图片描述

来到这一步，就不深挖了.......

小结：这属于使用诱骗试邮件，传播盗号病毒！

而这种邮件通常由盗号者手动发出，而且这种邮件会取一个有针对性的邮件标题，从而诱骗你下载附件打开！

而盗号者在盗取到新的帐号后，再使用新帐号对里面的好友们群发邮件，从而使病毒不断扩散！

目前该病毒使用过的标题有：

“相片”、“公司账单请查收” 、“同学联系方式”、“帐号”等！

而目前起码已经有上万个帐号（可能还远远不止）已经受害了！

所以，如果有一天你也收到这类型邮件！

希望不要直接打开，最好多使用几种扫毒软件进行扫描！

或者可以把附件下载下来后，不要直接解压

而是先把这个附件的压缩包打开！！

如下图：

在这里插入图片描述

一般来说，如果看到的像上面这样是 .exe 的

那就最好解压后不要双击这个文件了！

因为这个是病毒的可能性很大！

以上是一个比较老的案例了，大家看看就好，主要是希望大家对钓鱼邮件保持警惕，避免造成损失！