记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

说说你的网站被黑经历

2013-03-28 19:55

上篇我八卦了下QQ空间钓鱼的黑产背后,收到了一些“威胁”,不过我知道多半是玩笑,毕竟我没爆出什么真的亮点,而且这点小文字,根本影响不到这个黑产集团的利益。不痛不痒。

黑产的八卦放一边,以后慢慢来,一些留言希望我继续科普黑产的同学,先别急。

今天我想说下“被黑经历”,也欢迎各位投点料(自己网站被黑经历)给我:)

2012年11月21,早7点,我发现我的博客被黑了,如封面这张图,说:“i'm sure your site have no xss by the venus hacker”,这英语很有chinese范,我当然不相信谁会用XSS来攻击我用WordPress搭建的博客系统,这年头WordPress的高质量XSS不容易得到,我很快就想到了我是怎么被黑的了,洗漱完后,打开电脑开始排查:

1. 黑页里的特殊指纹,利于我追踪;

2. 网站请求日志;

3. 我的网站源码里是否有后门;

调查黑页不仅仅是为了拿到里面的特殊指纹,还有想看看是否有植入网马(如果有这个,那这个黑客太狠了,我非得把这个人挖出来并曝光),或者更邪恶的XSS攻击(这个我估计很多很多人都想不到,如果有这个,我会很尊敬这个黑客),我如此谨慎是因为如果是我要做些邪恶的事,我会这样做。

结果这个黑页很普通。于是开始查看网站请求日志(如果是我猜测的攻击手法,日志里不应该有什么明显特征),果然日志里没什么奇怪的,基本肯定了我的猜测了。

但是我还是不放心,既然是我猜测的攻击手法,那这个黑客如果不是仅仅“just a joke”,那肯定还会留下后门,WordPress那么多文件,我如何最快的速度确定是否有后门呢?

我用Python脚本改写了两个程序(幸好之前我有积累),一个脚本分析全球常见后门(Webshell)特征(允许误报),一个脚本对比我之前备份过的文件Hash(担心被篡改植入一句话后门)。

半小时后,完成了这些检查(如下3张图),看来这个黑客仅仅是想开个小玩笑而已。

那这个我已经猜测到的攻击手法是什么呢?很简单,我博客所在的主机权限配置很脆弱,只要这个主机上任意网站被黑,都可能威胁到我的博客,这个主机被黑客拿下了,然后看到我的博客居然在里面,顺手来了个玩笑。

追查完成后,9点我就上班去了,10点后,先后两拨人承认是自己搞的,这个我就有点小纳闷了,不过我已经无所谓了:)其中一人发了我一张图,肯定了我的分析:

我通知过这家空间域名服务商,可是人家态度很不好,不搭理我,这样的主机不知道被多少黑客光顾过,那我为什么还使用这个主机?因为我懒:)

这个小故事到此,我们最近发现了几起有意思的黑客活动,等我爆料,这次我不怕被威胁了,因为他们来自天朝之外。

 

 

知识来源: blog.knownsec.com/2013/03/%e8%af%b4%e8%af%b4%e4%bd%a0%e7%9a%84%e7%bd%91%e7%ab%99%e8%a2%ab%e9%

阅读:69042 | 评论:0 | 标签:安全研究

想收藏或者和大家分享这篇好文章→复制链接地址

“说说你的网站被黑经历”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云