安装完phpStudy,MySQL默认密码不修改,默认用户密码为root,因为啥?等黑客上钩啊!
黑客IP:123.249.34.172
百度查询结果:贵州省黔西南布依族苗族自治州兴义市 电信
首先,来一张该IP地址所属小黑的桌面截图
文件夹1--木马、FTP程序、包含phpmyadmin弱口令的文件、算了自己看吧
菜刀(绝逼右后门的),访问了两个,确实存在的
dz爆破--用于爆破discuz论坛程序存在的用户名密码的工具,先遍历uid(没记错吧)0-N然后获取每个id的用户名再去挨个爆破,下图就是这个程序
来看看他的爆破结果
代码语言:javascript复制Url:http://www.xiazy.net/
User:q198046马赛克
Pass:a123456Url:http://www.xiazy.net/
User:kk马赛克
Pass:123456Url:http://www.xiazy.net/
User:xiaz马赛克
Pass:a123456Url:http://www.xiazy.net/
User:Ja马赛克
Pass:123456Url:http://www.xiazy.net/
User:liu马赛克
Pass:123456Url:http://www.2cifang.com/
User:g马赛克
Pass:a123456Url:http://www.chinapyg.com/
User:飘马赛克
Pass:888888Url:http://www.chinapyg.com/
User:海马赛克
Pass:111111Url:http://www.chinapyg.com/
User:hy马赛克
Pass:admin888Url:http://www.chinapyg.com/
User:jc马赛克
Pass:123456Url:http://www.chinapyg.com/
User:n马赛克
Pass:88888888Url:http://www.chinapyg.com/
User:CR马赛克
Pass:a123456Url:http://www.68xi.com/
User:peng马赛克
Pass:123456Url:http://www.68xi.com/
User:night马赛克
Pass:a123456Url:http://www.nbegame.net/
User:aq5马赛克
Pass:a123456Url:https://bbs.egamew.com/
User:q294马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sea马赛克
Pass:123456Url:https://bbs.egamew.com/
User:1马赛克
Pass:123456Url:https://bbs.egamew.com/
User:sil马赛克
Pass:123456Url:https://bbs.egamew.com/
User:l马赛克
Pass:123456Url:http://huyouxiong.com/
User:hbs马赛克
Pass:123456Url:http://www.souho.net/
User:626马赛克
Pass:123456Url:http://www.souho.net/
User:li马赛克
Pass:123456Url:http://www.souho.net/
User:zuo马赛克
Pass:a123456Url:http://www.souho.net/
User:jiu马赛克
Pass:111111Url:http://www.souho.net/
User:bz马赛克
Pass:111111为了保证这些账号不被浏览该内容的人滥用,人工马赛克了......
IDMan---纳尼???
UPUPW----集成环境
wz---挂机宝????
来看图,顺便小黑的手机号也有了
多线程批量破解--phpmyadmin批量爆破的
去重复--肯定是数据去重复的了..
弱口令利用--phpmyadmin弱口令利用工具,直接写shell
上边的图不用我说各位也看懂了吧,相对来讲真的挺多了
新建文件夹--gh0st改版的远控
来看看在我打开的同时上线的主机(应该不是全部)
域名采集器--根据关键字采集域名的
config.php--myshuo.com MyShuo,正品商城,官方旗舰店数据库配置文件,里边包含数据库密码,目测已被脱裤
目测首页已被修改
用他本机安装的navicat测试了下,可以连接,但我可没动里边数据哈,不信的话这种第三方数据库都是有日志审计的,不信去看日志...
fanwe.sql--不用多说,那个一元夺宝的数据库
剩下的就是没用的东西了,下边开始翻这台机子上小黑的个人痕迹和个人信息
C:UsersAdministratorAppDataRoamingTencentQQDownload目录下发现QQ号码
QQ:4255268110
通过Google搜索该QQ邮箱发现在2015年6月6日就有国外用户在某站点发帖求助,中了病毒
链接:
https://forum.viry.cz/viewtopic.php?f=13&t=148389
http://www.forospyware.com/t508252.html
在C:UsersAdministratorDocumentsNavicatMySQLServers目录下发现小黑连接过的MySQL服务器连接
地址:rm-j6cynn3马赛克o.mysql.rds.aliyuncs.com
这个目录让我很疑惑,他桌面有方维的cms和数据库,这个数据库里也有,两种可能
1.其他厂商的数据库和代码被小黑脱了
2.小黑自己在阿里云买的
小黑安装过QQ管家,但不是为何又卸载了,可能黑客工具报毒吧...
来看下administrator的信息
用户名 Administrator 全名 注释 管理计算机(域)的内置帐户 用户的注释 国家/地区代码 000 (系统默认值) 帐户启用 Yes 帐户到期 从不 上次设置密码 2018/8/16 22:49:36 密码到期 2018/9/27 22:49:36 密码可更改 2018/8/16 22:49:36 需要密码 Yes 用户可以更改密码 Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 2018/8/27 8:49:21 可允许的登录小时数 All 本地组成员 *Administrators 全局组成员 *None 命令成功完成。 机子应该是2018/8/16 22:49:36左右开始使用的,因为只有一个默认administrator用户
系统是虚拟机
可以看出是Hyper-V,
或许是买的vps然后买了多个公网IP给虚拟机配置的公网IP?但是通过查询IP看,也有可能是ASDL拨号,乱了,分不清了
也许是去睡觉了,但是还在爆破
Windows系统日志没有任何东西,当然也不会有,因为这是虚拟机,不是远程桌面登录的
好了,现在来总结下信息
IP: 123.249.34.172
百度: 贵州省黔西南布依族苗族自治州兴义市 电信
ASN: 4314
QQ: 4255268110
手机:18666648024
归属: 广东 潮州 中国联通
远控:Gh0st修改的,名称:低调 & 大叔
攻击方式:利用域名采集程序根据关键字UPUPW进行采集,再批量扫描phpmyadmin弱口令工具A进行批量爆破,爆破后利用工具B进行写webshell,猜测木马是手工种的,很有可能在被入侵服务器上运行了那个类似挂机宝的程序,目前该黑客一爆破出近千个弱口令账户,危害极大
注意:以上的QQ或者或者手机号码信息可能不准确
我说下哈,警察同志要抓人的话就去抓,别抓我就行,最好也不要联系我,我可没动任何东西......
文章转载自:微步在线情报社区 作者:匿名
