记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

习科前员工曲振德对习科服务器攻击行为的简要取证

2015-02-15 09:15

2015年2月13日至2月14日,习科附件服务器遭到一定规模的CC攻击和DDoS攻击。就在D阔窃喜每天近200GB的数据量并准备挂到春节的时候,习科的技术人员已经完成闪电取证,其矛头直指习科前员工曲振德。

 

 

在此,习科想说,偷走公司桌椅台式机进行时所谓的“创业”,糊弄不明真相的人,已经很丢人了,不要再一而再再而三的做丢人的事了。

具体细节见下文。


从2月13日夜里开始,习科服务器WAF预警就开始提示,直到14日中午,服务器单日流量达到平均200GB。日志节选如下:

 

 

 从日志可以看到一个ip:103.238.225.220的访问者。从CC攻击开始前,其访问了习科服务器一次。

在CC攻击开始后,该ip曾多次试探访问习科服务器。

访问日志对103.238.225.220进行了筛选(HTTP 304状态可视为200状态)

103.238.225.220 - - [13/Feb/2015:19:43:19 +0000] "GET / HTTP/1.1" 200 1789 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:43:19 +0000] "GET /favicon.ico HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:43:20 +0000] "GET /favicon.ico HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:43:31 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:44:03 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:44:19 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:44:19 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:44:53 +0000] "GET / HTTP/1.1" 200 36 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"103.238.225.220 - - [13/Feb/2015:19:44:53 +0000] "GET /favicon.ico HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:44:53 +0000] "GET /favicon.ico HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
103.238.225.220 - - [13/Feb/2015:19:44:54 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"
通过调研,我们认为只要确认了该VPS的所属者就确认了攻击源。

该服务器开放了80端口,装了类似SVN的源码平台。要确认该服务器的归属其实很简单。

 

 

 该平台存在一个“Reset Password”,当输入的邮箱是随机一个邮箱时,返回的“ERROR”信息。

但是如果输入一个人的邮箱像这样:

 

 

系统返回登陆界面,默认为找回密码的邮件已经发送。

当然了,这些并不足以成为铁证。曲振德利用的大部分肉鸡都是edu.cn的机器,再后面的取证可以参加针对黑客“M3QD4D”的取证,简单的入侵手法获得肉鸡(肉鸡列表将会发到习科论坛,有兴趣的可以测试)。

除此以外,在黑板报前一篇所讲的CICC机器上“/usr/bin”目录下发现代理后门,程序名为cow。

该后门在Git上面我们找到了源码,并做了修改,记录下一些访问内容如图。

 

 

具体Linux服务器后门相关技术内容,将择日在习科论坛发布。每一篇所涉及的技术内容可能不多,但是习科更注重讲思路,多篇组合起来希望对大家有所帮助。

 

本文阐述主要取证思路

DDoS和CC攻击一直都是令无数管理员头疼的事,习科遇到这种事其实也很头疼,但是追查其攻击源是习科公司的业务范围之一。D阔在对某些目标进行攻击前,一定会对其踩点,耐心和细心的日志筛选,是获得攻击者重要信息的手段之一。例如黑客上次对习科进行CC攻击的工具使用的是mtsb.cn的工具,黑客圈就这么大,谁用什么东西攻击什么地方,其实不用细查也知道是谁。

在其使用的代理服务器上对程序进行修改、监听,也是取证手段之一,D阔为了满足数量的需要,其肉鸡的安全程度必然比普通入侵得来的肉鸡更脆弱。

 

小编写在最后

习科前网站管理员曲振德在习科主管在回国飞机上劫持习科域名及QQ群,跳转至自己新建的所谓的“习科”站点上,趁公司主管不在,偷走公司桌椅、台式机甚至烧掉的XBox,本已经够丢人了。

之所以对刑事犯罪行为不追究,一来是念及创业情分,二来给一些人留一些脸面,如果不讲情面,PDF详细报告就已经公开下载了。

习科公司2014年曲振德主持的开发项目亏损几十万,带领的技术团队在安全上没有任何技术革新,还要求年底要么配车要么折现金,因为公司做不到于是就有了“习科联创”。

QQ截图当然都是截对自己有利的地方,习科公司也可以调出公司沙龙时候曲振德父母来青岛入住四星酒店及餐厅的登记账单,以及各种证明“习科没有对不起曲振德”的证据,之所以没有这么做,好话都让你去说,无非是觉得无论什么事,无论双方哪方,做事还该给自己留点脸。

 

习科从一个民间兴趣团体成长为一个有技术积累的安全厂商,并不仅仅是靠几个技术核心的倚老卖老,走了很多人也来了很多人,如果非要把走到人归咎到主管的不好,把来的人算做某一个人的功劳,那么习科走不长远。

其他的话习科前技术主管Juliet早已经放在曲振德曾经的个人博客graynight.org上面了,你应该很清楚你耍赖也好阴人也好,习科不是拿你没辙,希望你好自为之。

 

技术的车轮滚滚向前,习科不会因为盗窃,剽窃,攻击,诽谤而止步不前,习科的技术核心会把精力投入到技术研究和革新上。

我们会一如既往的向大家分享技术经验、研究结果。

近期习科黑板报将于习科论坛同步发表 社会工程学相关连载刊文,目前作者“凹凸曼”正在与习科VIP和核心群校验内容,争取在春节前后与大家见面!

//Silic.Org

知识来源: silic.org/post/DDoS_by_Graynight

阅读:328440 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“习科前员工曲振德对习科服务器攻击行为的简要取证”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云