关于匿名者组织的疯狂拿站和统一黑页显示时间的行为,相信大家已经见怪不怪了,但是当匿名者组织开始侵略中国网站的时候,相信大家都坐不住了。首先,个人感觉反击的意义何在,或者说究竟有没有意义,笔者不是哲学家,思想家,不做过多探讨。但是,知己知彼确实是必要的。笔者对前一段时间,国内地方GOV被疯狂秒杀的一次行动做了一次没什么技术含量的分析和猜想。
(以下敏感域名用WWW.XXX.COM略过)
首先,笔者登陆了FACEBOOK找寻了一些热议的话题:
(以下为GOOGLE翻译,英文不好,只好找谷大哥帮忙)
1.中国3000+政务工作网站 匿名者成功获取权限
2.匿名者再次攻击亚洲各国,宣传独立自由 在网络中
3.亚洲强国网络安全成为匿名者的击打目标。
以上是通过匿名者为关键字模糊搜索的热议转载,基本每个热议都指向匿名者发布新闻和预告信的推特,笔者只好继续翻阅防火长城登陆推特,观看了一些匿名者发布针对亚洲和其他洲的攻击成果发布,评论中充斥着各种赞扬与羡慕,当然不乏我国人士(最大的悲剧),当然,也有进行技术分析的人,有一条评论中带有这样一个域名:
www.xxseo.com(化名)
接着,笔者C段了一下:
IP:
XXX.XXX.XXX.200
XXX.XXX.XXX.201
XXX.XXX.XXX.202
XXX.XXX.XXX.203
XXX.XXX.XXX.204
XXX.XXX.XXX.205
以上IP全部指向中国某省级机房
OK,就这个IP段开始旁站扫描,得到无数四级域名:
XXX.host1068.xxxseo.com.cn
XXX.host1079.xxxseo.com.cn
XXX.host1081.xxxseo.com.cn
XXX.host1083.xxxseo.com.cn
XXX.host1093.xxxseo.com.cn
XXX.host1099.xxxseo.com.cn
相信看到这里,大家应该明白了些什么,当然笔者还是打开验证了下
无一例外,全部是政务网站,各地GOV。
XXX.host1099.xxxseo.com.cn
都是IDC机房托管的分配四级域名,实际绑定是WWW.XXX.GOV.CN
笔者继续扫描旁站,并导出所有URL(四级域名)
将导出的列表批量经行绑定域名反查,得到实际绑定域名结果列表。
在工具经行这些自动化扫描导出的时候,笔者继续做着准备,将匿名者在推特发布的攻击我国站点的列表下载了一份,可以不是文本,图片质量又狂差,只能美图秀秀去个雾(不会PS的伤不起),勉强看清了URL。
准备工作做完,手上有两份列表,一份是扫描旁站得出的IDC C段的GOV站点 URL列表。
另一份是匿名者发布的攻击我国站点公开列表。
然后笔者比对了一下,相信结果大家都猜到了。
IDC下的163个GOV站点,有112个在匿名者攻击列表中,当然匿名者公布了3000+个。
好的,对匿名者每次行动的印象让我立即从庞大组织的集体攻击,变成了组织性的批量拿站。
这个时候,笔者又有了另一个猜想,即使是批量攻击,整个C段也是要花时间的,于是笔者爬行了5个网站的目录,BINGO,全中,居然是一模一样的目录结构,好的,原来是一个公司的业务啊!统一的建站系统,统一的OA系统,统一的邮件系统,统一的VPN登陆远程办公系统,好吧,你赢了!
关键是,统一的后台,统一的弱口令!!!好吧,你又赢了,给GOV做网站业务,您就不能随机生成密码给管理员么!
有了这个验证,笔者继续猜想和验证,如果这些服务器全部在自己手上,那把站点全部黑掉,集体挂黑页是更轻松的了吧?是不是服务器本身就有问题呢?对这些IP经行端口扫描,发现了都存在999端口,访问后是……phpmyadmin?
好吧,空密码不对,默认密码也不对,笔者来到了这个强大IDC公司的官网,资料下载中有:PHPMYADMIN……一键部署程序?
好吧果断下载下来,原来也是ZKEYS的程序,默认密码 ROOT ZKEYS 好吧,现在100+台政府公务服务器,完全可以用这个万能钥匙登陆PHPMYADMIN经行SHELL导出了,然后提权……批量替换首页么?
不用,匿名者只需将服务器IIS所有的域名指向一个有黑页的ip就可以了。好吧,惨不忍睹……