博客被黑實(shí)錄

昨天晚上在寫完《何去何從》那篇東西的時(shí)候突然發(fā)現(xiàn)我的博客頁面出現(xiàn)異常， 癥狀就是頁面內(nèi)容靠左了， 正常的話就是在中間的。 問了問朋友也覺得不正常了， 習(xí)慣性地打開博客主頁的源文件。 不看還行， 一看差點(diǎn)沒嚇暈過去!源碼中第一句便是一個(gè)插iframe框架的代碼!!!暈了， 博客居然被人掛馬了。 這套程序雖然寫得不怎么好， 不過后臺(tái)已經(jīng)做了些改動(dòng)， 就算進(jìn)了我的后臺(tái)也是沒那么容易得到webshell的。 文件編輯功能去掉的了， 自定義上傳文件類型也去掉了， 其他基本上還有些文本編輯的功能了。 被黑了雖然是十分的不爽， 沒開張幾天就中標(biāo)了， 那還得了?!不過因?yàn)槲覜]有FTP權(quán)限， 不能上去看看到底發(fā)表了什么事， 所以服務(wù)器上面只能等朋友解決了。 我想我也不能干等嘛， 就想去分析下那個(gè)馬。 這個(gè)馬挺有意思的， 不是普通的htm或者h(yuǎn)tml后綴， 居然是一個(gè)asp后綴的文件!這種馬我倒還真是第一次見呢， 直接打開頁面顯示空白。 叫朋友幫忙看了看， 居然說打開我的博客不報(bào)毒， 直接打開那個(gè)馬所在的文件就報(bào)毒了。 郁悶， 還有這種事的。 后來又和朋友討論了一下才知道最近興起了這類asp的網(wǎng)頁木馬。 雖然直接打開是看不到任何代碼， 不過卻是可以用迅雷這類下載工具下載回本地再看的。 不過下回本地后發(fā)現(xiàn)更有意思， 里面的代碼是倒著寫的， 比如EXE文件的下載地址就是這樣的：exe.namnwod/segami/8050/swen/moc.iebug.www//:ptth。 要不是認(rèn)真看還真看不出來呢， 看來馬的作者果然有一手!

　　找到了EXE文件的下載地址當(dāng)然就是去下載回來分析下了。 下載目標(biāo)地址的EXE文件后， 大小13K。 用PEID查了一下， 加的是UPX的殼， 直接用PEID自帶的UPX脫殼機(jī)就脫掉了殼， 脫殼后程序大小為48K。 圖標(biāo)是MSN的圖標(biāo)， 再用PEID看了一下， 居然是什么也沒有發(fā)現(xiàn)， 看來還有別的保護(hù)。 不管了， c32asm載入， 查找關(guān)鍵字， 沒有發(fā)現(xiàn)下載地址信息， 也沒有上線信息等， 確定應(yīng)該不是下載者類。 不過看到有不少@字符， 初步估計(jì)是盜號(hào)類木馬了。 而且還發(fā)現(xiàn)很多和MSN相關(guān)的字符。 由于自己的反匯編能力確實(shí)很有限， 所以請(qǐng)出ASM大俠幫忙分析。 沒多久結(jié)果就出來了， 是個(gè)盜MSN賬號(hào)密碼的， 運(yùn)行后會(huì)在c:\windows\system32\目錄下釋放msnmsgr.exe文件。 跳到系統(tǒng)目錄下， 不好意思， 我中標(biāo)了!果然發(fā)現(xiàn)有msnmsgr.exe這個(gè)文件， 趕緊刪除掉。 不過這個(gè)文件沒有一點(diǎn)難度就刪掉了， 還真是不太爽。 問了問ASM， 他說這個(gè)程序根本沒執(zhí)行到盜號(hào)那一步就執(zhí)行自刪除了， 換句話說就是中了也等于沒中， 難怪這么輕易就T出硬盤了!這馬白寫了， 唉， 可憐的作者。 自刪除方式還是創(chuàng)建bat文件實(shí)現(xiàn)的呢， 呵呵。 還有插入線程等一些木馬所具備的功能， 不過目的都沒實(shí)現(xiàn)就自行了斷了就的確可惜了!至于放馬的那個(gè)站， 簡(jiǎn)單的看了看發(fā)現(xiàn)不容易拿下就沒去理它了。 這個(gè)網(wǎng)馬還是MS07004、MS06090、QQEXP三個(gè)在一塊來的呢， 夠厲害了!至此， 關(guān)于這個(gè)馬的分析就告一段落了。

　　不得不要提的就是， 這個(gè)掛得很奇怪：我訪問的所有頁面都會(huì)被在同一位置插入那行iframe框架代碼， 包括后臺(tái)管理頁面。 雖然說如果得到了webshell的話， 要做到這一點(diǎn)并不難， 來個(gè)批量掛馬就OK了。 不過我的博客才開沒幾天， 又沒有什么流量。 那家伙為什么要黑我的呢?貌似沒有什么動(dòng)機(jī)。 知道我開博客的人也不多， 有能力黑了的更是屈指可數(shù)了。 由此初步斷定入侵者應(yīng)該不是針對(duì)我而來的， 要么是旁注的， 發(fā)現(xiàn)有站就順手掛上了;要么就是傳說中ARP欺騙掛馬大法了!說到ARP掛馬這招我以前倒是沒聽說過的， 雖然玩過ARP欺騙攻擊， 也曾經(jīng)和朋友ARP弄過一個(gè)黑客站。 但是ARP用來掛馬還是頭一回聽說。 信息來源是紫俠客提供的， 他說最近在流行一種ARP欺騙掛馬， 說我博客的癥狀極有可能是ARP干的了!手上根本沒有任何關(guān)于ARP掛馬的資料， google了一會(huì)終于有結(jié)果了， 原來是某個(gè)病毒的一種傳播方式。 毒是夠毒的了， 只要拿到同一網(wǎng)段下的其中一個(gè)服務(wù)器權(quán)限， 就可以對(duì)目標(biāo)進(jìn)行掛馬操作了， 根本無需得到目標(biāo)網(wǎng)站的任何權(quán)限， 就可以把你的馬掛到上面， 夠狠了吧!由于事發(fā)當(dāng)晚朋友FTP連接不上去， 具體原因無法查明， 初步斷定用的就是ARP掛馬了。 入侵者并不是有意針對(duì)我的， 只是我的博客空間剛好在那個(gè)網(wǎng)段， 人家一動(dòng)手就中標(biāo)了。 還有就是我的windows居然不能更新了， 手動(dòng)更新的時(shí)候提示我的系統(tǒng)不理正版(本來就不是的啦)了， 難怪N長(zhǎng)時(shí)間沒有自動(dòng)更新了， 原來MS認(rèn)出我的系統(tǒng)是盜版的了， 唉。 看來得想個(gè)辦法更新才行了。 要不天天中馬就不爽了， 萬一哪天一不小心中了個(gè)遠(yuǎn)程控制木馬， 那滋味可不爽啊!

　　這次博客被黑事件雖然不爽， 但是也因此而同時(shí)接觸到了不少新事物。 后來就轉(zhuǎn)移了空間， 弄到安全的地方上去了， 還叫朋友幫忙分析這套程序的代碼， 主要是想看看到底哪些地方不夠安全， 把危險(xiǎn)指數(shù)降到最低才是最重要的嘛。 期間還得麻煩我的朋友們了， 博客訪問不了， 真的不好意思了哦。 還有就是幫我分析木馬、關(guān)心我的所有人和幫我轉(zhuǎn)移了空間的朋友， 我在這里向你們說一句：同志們， 辛苦了!等我有幾個(gè)億身家的時(shí)候送你們幾車鈔票， 哈哈……