Aug 30, 2008

转帖:黑客眼里的隐私

一个黑客眼里的隐私
本文转贴自opera的一篇blog上(貌似现在很多人搬去哪里),很久没有看这样的类技术性文章了,花半个小时快速浏览了下,长了见识~转贴此文并不代表本blog同意其观点,转贴而已,希望不会因为内容敏感而被禁发(曾经在网易有过这样的经历,可以告诉您,本文网上copy的n多,不过这个是完整的10篇,希望不要因为仅仅出现类似政府,警察的字样就不让发,否则我也要搬家了)
PS:本文貌似是一篇网警写的办案经历,中间插播朽木同学的一篇文章,顺便感叹下,可怜他打电话给腾讯告之被入侵,可惜人还是没放过他,其实我也在想,既然他明白着其中的道理,为什么还会被抓呢?(虽然被保释)讽刺啊!
 
1. 2005年,圈子里一直流传着一句经典玩笑话:小心我DIR溢出你!这句话源自于一个假借红客联盟之名的红客大联盟的老大"虾扑瘟能"先生,接受电视台采访时,对着电脑一个劲的在DOS下执行DIR命令,以达到屏幕一直不停滚动的效果.这段采访的视频传开来后,具说是安焦的朋友最先发明了这句,小心我 DIR溢出你,于是,听着乐,说着乐,这句经典就这样传开来,后来甚至配上了漫画,一直传到圈子里慢慢忘了这件事.(2004年底的最后一天,红客联盟宣布解散,马上就有人继续打着红客联盟的牌子,冒出个红客大联盟来,也不记得是那个电视台还采访了,一不小心就创造出了这个伟大经典的笑话.注:DIR----用来显示文件的DOS命令)
2.  休息了一段时间,每天无聊的看看新闻,听听音乐,日子过的飞快.这天,突然接到个任务,也不能算是任务,算是帮朋友的忙吧.一位做网警的兄弟打来电话,要我过去一下,有个问题要我帮解决,因为算是一个体系,平时我们互相学习,互相帮忙,倒经常配合的很默契.  
兄弟很简单的给我说了一下事情:报案人的电脑里的所有WORD资料全部无法打开了,桌面上留着一个文本文件,里面写着一句话,要想恢复资料,请在三天内转5000元到下面账号内:中国工商银行 胡XX 95588040.....电脑他们几个兄弟查了,没有发现犯罪嫌疑人留下的痕迹.不用说,肯定是报案人访问了挂马的网站,中了木马后,嫌疑人看到电脑里的资料比较重要,所以才留下5000块恢复资料这话.一起典型的利用电脑网络的敲诈,真不明白,现在的计算机高手,都是怎么想的.好好的正路不走,净做些违法的事.  我又让兄弟把电脑开开,我再检查了一遍,一样的结果:三天前的日志全没,后门远程控制的木马也应该被嫌疑人清除了,用恢复软件恢复了所有盘符,只发现一个批处理文件有价值,那家伙定义了一个三天后运行的批处理,自动搜索所有WORD文件,清除WORD里所有文字,然后往里写些乱码. 如果只是删除了文件,还有可能恢复,像这种擦除再往里写乱码的方式,真是让文件无法恢复.看来,想恢复文件,只有找那嫌疑人了.  
"查了银行账号没,"我问兄弟:"这文件是没法恢复还原了,我看那家伙肯定是下载了所有WORD文件后才干了所有文档,不然他也没法恢复,想要文件,还真得找那家伙, 这事也没啥复杂的,查银行帐号,给他转账,等他取的时候直接抓不就得了"兄弟说:"银行那边已经查清楚了,应该是假身份证开的账号,没有详细的线索了,安排好了,无论在哪取钱,都可以马上查出来地址"我说,那不就行了,让他转账就行.说完自己感觉有点不对,能做到敲诈不留痕迹,思维应该是很清晰的,而且这么大胆的直接留下账号(尽管是假身份证,但也得取到钱啊),应该不会属于SB类型的,想到这,却想不出问题的具体不对在哪.  
兄弟给那电脑上装了一个小小的监控软件,然后让那报案人把电脑抱回家,给他说,平时不要访问些乱七八糟的网站,每天把D盘由监控软件生成的一个TXT发过来,让他先转账 (因为资料很重要,又没备份,必须得搞回来),然后等他们抓人.那个监控软件功能很简单,就是记录每个进程连出的IP,生成一个TXT,如果嫌疑人再进来这台电脑,就可以记录下来,原理上这种机率应该不会发生.因为嫌疑人清除了木马,就是不准备再连这台电脑,而且清了所有日志,也就不让有迹可寻,所以,就算真留了更高级的我们查不出的后门,他也不会再访问这台电脑,这也是这家伙心里的常识.但是我兄弟职责所在,不管有用没用,总得有个交待,做做样子,也是要的. 
 
第二天,报案人转账了,给兄弟了电话,这边就密切关注着银行账号了,等着那家伙取款好抓个正着.第三天,报案人邮箱里收到一封邮件,内容写着,要的文件地址:HTTP://www.xxxx.com/admin/test.rar.邮件一看就知道是用群发软件发出的,发件人地址伪造的, DNS是从国外来的,还不知道中转了几次,想查出发信人真实的地址,难.按地址下下来一看,果然是全部的WORD文件,我猜的没错,那家伙果然是下载了所有文件后才下的手. 
 
第四天,账号上的钱依然没动静,又不能冻结账号,只能一直等.......
3.  先贴一篇网友的文章:  (互联网没有天网恢恢疏而不漏-入侵者必读)  
作者:朽木(那个传说中的腾讯入侵者)   
 
这篇文章很早就写了,本来是投到黑防的。编辑说稿子很好,回信给我让我修改稿子把路线偏向“防”,可是思来想去,从纯技术的角度来说。目前国内网络结构是无法“防御”的。所以婉言谢绝了黑防编辑修改文章的事情。发出来大家学习吧。   
 俗语有云:天网恢恢、疏而不漏!这句话是真的么?现实社会中我不知道。但是在互联网上,这句话在Internet上是很软弱的。读完我这篇文,就可以知道。在网络上触犯现行法律,即便于公安部门立案调查,未必就“落入法网” 注:本文仅做技术研讨,并非讨论如何在犯罪后逃脱法律的惩罚。  
  首先来认识一下:“网监”也就是公安部门分管网络的部门。他们负责网络监管,如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情`反现政府的内容。都属于网监处理。    
我们来假设一个案例:163.com主站被入侵,服务器硬盘全部多次格式化,并且重复读写垃圾数据,导致硬盘数据无法进行恢复,损失惨重。于是在召集专家紧急修复服务器数据的同时,163.COM公司迅速向广州网监报案。广州网监介入调查,追踪此次入侵者!    如果你是入侵者,你面对这样的情况。你会怎么办?其实很多同行在侵入别人网站、服务器、内部网络的同时,都不太懂得如何保护自己。如果你们不注意隐藏自己,用不了一天,网监部门就可以锁定你家祖宗十八代-_-!!!,如果隐藏的好,等这个案子过了法律追究期限,也是个无头案。而这,在Internet上来说,是易如反掌!    
首先,我们来了解下`网监部门如何追踪入侵者,锁定他在何处作案。大家一般都知道,当你黑掉一个网站的时候,你在WEB的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站,被记录下IP地址一点也不奇怪。就算一般浏览网站,也会被记录下IP,当你在浏览网站执行一个操作的时候,IIS服务器就会进行一次记录,比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录,这是绝对会留下的。    
当你侵入一台服务器呢?在你进入服务器的时候,首先WINDOWS系统就会对你的连接IP进行记录,其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除,而网关上的记录,你永远也碰不到。    
公安部门在锁定做案者的时候,首先就是要找到做案者,如何找到?最重要的就是追踪IP了。  
  我们来了解下一些ADSL宽带接入常识。 
  众所周知,现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP,少部分是使用的固定IP。固定IP是特性一般是带宽在 4M以上。而一般人用不了。当你启动计算机,通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP,并且记录如下事件,例如:2008年8月8日8时8分8秒,btm4545455(宽带帐号),拨入IP:58.53.1.5,操作系统: Windowsxp,拨号电话:07284544562。各省的电信记录方式可能不同,但是这些数据绝对会被ISP记录下来,有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统,确实存在!而且更详细,我这里只是简单列举了他记录的一些主要数据!    
另外一点,当你成功拨号进入互联网后,你的IP在访问互联网的时候,会经过不少路由器,几乎每个路由器都会记录下你的IP!    
现在大家知道了ISP服务商通过什么方式记录你的行踪了吧?    
我们再谈谈公安部门如何抓捕做案者。大家都知道,要抓一个人,首先就要知道他是谁、他在那里。如果这都不知道,怎么抓?而要获取到作案者地理位置和真实身份的唯一手段,就是“IP”,IP就是ISP分配给大家用来上网的东东。大家都知道,当你的计算机和一台Internet上的服务器建立连接的时候,双方就会互相传输数据给对方。而这个IP就等于是传输的通道,其实你使用的IP,只能说是互联网的“身份证”,真正访问互联网资源的其实是ISP,你的IP只是负责接受和传输数据到XX服务器。同样,这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机,才能继续追查他的使用者。    好的,我们现在回到前面,我们前面说了,假设163.COM公司报案后,公安部门通过分析,在WEB服务器系统上以及网关上面(无法擦去)均找到了连接并入侵系统的IP地址:211.1.1.1,这个时候公安部门调查发现,这个IP是来自日本的。这就是说`入侵者是日本人?这其实只是一个假象。  
  当查找一个入侵者的时候,很重要的一个环节就是查路由日志,大家都知道,当你的IP访问一台服务器的时候,就会经过非常多的路由器,也就是说不只一台路由记录了你曾经到访过的IP,这也是可以追查到的。同样,即使你使用国外肉鸡来连接入侵163.COM,公安叔叔同样会追查到你。那他们是如何做到的? 
  答案很简单,公安部门是有权利要求电信部门配合,提供路由日志,具体提供到有那些IP曾经路由到211.1.1.1这个IP上面,这样。就可以抓住你了。当你被抓的时候,别想`为什么劳资明明用了代理,还是被抓?其实很简单,因为单单是一层,那是很容易被破解的,尤其是代理!代理协议都是很简单的。被破译一点也不难。  
  大家都知道,公安网络监管部门有一个国家防火墙“金盾”,大家知道这个防火墙是做什么的?就是用来屏蔽一些被认为网站内容涉嫌反动、色情活动的站点和网络资源。不信,大家试试随便找个普通的国外有效代理访问类似www.wujie.net,你就会发现你和代理的连接中断,为什么中断?因为金盾检测到你涉嫌访问反动、色情内容`并且已经被屏蔽的站点。然后ISP的系统,就会强行中断你和那个国外代理的连接。这样,在一定的时间里,你就会以为代理死掉了。更简单的测试方法比如:你在google.com里搜索:“邪恶”,你就会发现自己和GOOGLE的连接已经中断,其实这就是ISP强行掐断了你们的访问。你在大概几分钟类就无法访问GOOGLE。因为你的内容没有进行任何加密措施,就类似代理、就很容易被识别出来。  
  所以大家不要随便相信代理这种基本没有任何安全性可言的东西。。而怎么样,才能逃避追踪呢?方法很简单。  
  公安部门追踪入侵者,只能从IP下手,我们逃避掉IP,只要自己拉风。基本就没有危险了。如何逃避?我说下,我一般“检测”站点服务器所用的方法。准备工具`根据威胁性质`我一般对很危险的网络使用“E级防护”直接侵入服务器的是:北京某高速IDC服务器A、它的后面还有:湖南IDC服务器:B、山东 IDC服务器:C、韩国服务器:D、台湾服务器:E、本人电脑:F。    注意,防护程度根据个人能力而定,一般我这种级别的入侵防护要求被控制的服务器质量很高,首要是速度非常快,PING值如果国外的两台高于:150,那就不用考虑了。一般国外的要求PING在120左右。国内的PING在70以内。否则会造成操作速度非常缓慢,因为本身这样做以后,操作速度就会变慢不少,原因是:(这里的各地服务器我用A、B、C、D、E、F代替,刚才已经写清楚了),首先,我们连接的是E,然后在E号服务器里使用3389终端连接韩国D 号,然后D号再3389连接进入山东服务器C号,然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样,在操作过程中。你的一切操作都会记录在A号上面。被入侵的服务器一切记录都在北京A号上。连A号上的日志都不用擦,就是要留给公安叔叔追踪!  
  我前面已经说过了,公安叔叔的网络抓捕终极武器就是查路由了。而当我连接到台湾E号的时候,就会记录我路由到了E,然后呢?你在3389上的操作,仅仅只会留在对方的服务器上,而你只是看到传输回来的图象。并且是经过高强度加密,我试过根本无法被识别,依照现在的技术,是根本无法还原你到底进行了什么操作。并且这是绝对不可能的事情。因为终端连接的协议是非常严谨的。就现在来说,是无法破解的。看完你就知道为什么了! 
  当我连接到E号台湾的时候,我的一切操作就是E完整的,我仅仅是得到传输回来的图形界面(也就是截图差不多的),所以一切操作就是E完成的。这个时候E路由到了D号韩国,所以E号的路由就不是我们的了,就是由台湾ISP服务商路由了~大家明白原理了吧?公安叔叔只有权利查国内电信部门的路由日志,他们可以查到一个IP路由到了国外,但是绝对不可能查到一个真正的国外计算机傀儡到底他背后是谁`为什么呢?  
   因为当E号台湾操作D号韩国的时候,他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候,才有可能被查到。为什么呢?因为前面的A、B、C都在国内,只要在国内,都有可能被追踪到!例如:  
  继续回到案例假设中:这个时候公安叔叔查到IP:211.1.1.1`假设他是北京A号,好的,连夜中公安叔叔赶到北京电信`通过电信的配合`查知是某 IDC托管商处的服务器,开启了这台傀儡服务器,通过分析记录日志,得到我们的B号傀儡服务器,好的,连夜赶往湖南电信`在湖南电信的配合下`查到又是一台IDC托管服务器,素闻湖南人热情好客`果然不错。在IDC的盛情款待和大力配合下和公安叔叔们奋勇拼搏、不为个人、大力牺牲的情况下。查到了我们的山东C号服务器。这个时候,劳累的公安叔叔在休息了一晚后,继续赶往山东,在当地电信的配合下。查到这个IP又是属于某IDC机房的。于是在分析完日志后。  
   我们的公安叔叔知道`曾经在吻合的时间和背景下连接到这台C号的IP是:203.1.1.1`而这个IP来自韩国,怎么办?  
  其实公安这样要求国内ISP服务商配合调查,开启路由提供日志的几率是很低的。如果要跨国办案,只有一个可能。就是前往韩国`好的,既然是假设,我们就要假设完。在拿到去韩国的机票后,公安叔叔来到了韩国,在当地警方的大力配合和盛情款待后。通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器IP地址所在机房。在万分之一的几率下,又通过韩ISP的配合,居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾 22.1.1.1、八耻八荣的号召下,公安叔叔奋力拼搏,拿到了去台湾的机票,终于终于获得了台湾警方的配合。在异国,同胞们还是这么热情,终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。。。 
  终于,在万万分之一的几率下取得源入侵IP23.1.1.1来自中国湖北某地,于是公安叔叔杀红了眼前往湖北,终于在当地ISP的配合下。通过系统记录的拨号记录,终于查找到这位仁兄`可是公安叔叔们发现。已经过了:刑事追究期限。。。。不过这已经是有了中500亿美金的运气了。说实话,比尔大盖子把他 500亿的财产送给你的几率,都比查到源IP的几率高! 
  刚才是我的假设,剧情是顺利的。可是现实中,是绝对不可能的,首先:路由日志,不是谁想查就能查的。查路由会导致ISP整体网络速度下降非常高。而且不一定有几率,最关键的是这种路由日志一般都会定期删除。所以他的保存期很短。并且电信部门对一般的小地市的网监,不强势的部门都不怎么鸟。所以说,就算要找到我们的C号山东服务器都是很困难的。公安叔叔一般情况下,能查到B号的,你就该送人家:优秀人民公安锦旗了。。   
 再说说国外的D号和E号,当查到C的时候,也不知道是什么年代了。去查一台多次格式化,并且读写的服务器的入侵日志,无疑是。。。怎么说都不可能,除非有路由和网关日志,那东西。能在几个月后查到的几率是0,按国内公安办案速度,一般等个一年两年,才有可能去韩国。那个时候,估计人家服务器换没换。我就不知道了,这个时候能幸运的查到台湾E号,几率确实比微软老总送你500亿美刀的几率高。,而在几年后,能在E上找到你的源IP。确实可以当联合国总统了吧?哦对了,好象没这职。   
  按道理说,找到你的时候,你的电脑在长时间的使用中也已经更新换代了~这个年代,两年换代,不希奇吧?劳资2005年1月配的新机花了8200,现在2006年买不到6000配的牛B多鸟!能把你入罪,并且还在法律追究期内的情况,确实能媲美哈雷彗星撞地球了。别的不说,只要把硬盘多读写几次、格几次。这几年后,不格不读写,硬盘也都被重复写过多次了吧?而当年入侵的时候是操作在台湾机器上的,除非有一个可能。 
  ISP在这几年里一直在路由器上拦截你的一切网络访问数据,并且解密开。并且就算解密开,得到的只是你连接对方服务器的数据。这种级别的享受,我想只有特级间谍才享受吧。ISP可花不起这个钱和设备来监视一个普通人几年。并且还保存几年数据,要知道,如果一个省的ISP监视一个省的上网数据,一天的数据就够装几万G了。。。不知道得用什么东西装,这是不可能的事情。更别提解密了。就算找到你,也没证据证明是谁入侵格式了163.COM的硬盘!     归根结底,只要你能够利用国外网络躲避开国内路由,根本没有可能查到你,上面的假设中的A、B、C、D、E我都是自己亲身使用过的。并非胡乱吹嘘。这里我来说下,我一般检测站点服务器的隐藏自己的具体方式`    首先准备肉鸡3-5台`2台国外肉鸡`两台国内,国外肉鸡最低两台。这样才能足够逃避追踪。国内肉鸡可以减少到1台。根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高`国外地区的肉鸡`网络延迟要求你本机连接上的PING值不高于130。国内肉鸡不高于70的延迟。这样才能很好的使用肉鸡。方式是使用 WINDOWS自带的3389远程连接,在肉鸡里再连接肉鸡,这样反复套袜子式的连接。  
  我一般是使用5台`3台国内肉鸡,2台国外肉鸡。我采用的连接方式是,完全暴露的国内A号`B号国内,C号国外`D号国内。E号国内,F号本机。我连接E 号,然后连接D、C、B、A。注意`E号建议是采用开代理的方式连接。比如把E号开启SOCKS5代理服务方式,然后你在本机连接IP127.0.1,就可以成功连接E号。这样我在E号留的WINDOWS日志记录IP`全部就变成了127.0.1。这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候,也只能看到我连接了127.0.1。而路由只能证明我访问了、和对方服务器建立了连接。  
   以上隐藏方式,为亲身使用过。并非胡乱猜想。如果你这样都能被逮,只能说你是神人也!天神下凡。。。。  
   注意:这篇文章仅做纯技术研讨学习。请不要尝试越过法律!请各位尝试入侵的网友记住!当你在没有任何防护的情况下进行hacking,你时时刻刻都面临着危险。你是否落入那张“网”,就看别人是否要你进“网”。犹如案板上的→“鱼”)   
 账号上的钱不动,越平静,我心里就越没底,因为目前看来,没有下手的地方:银行那边,因为账号开户是一年前,不可能还有录像;报案人电脑里又没有有用的信息了;收到的邮件查到发信人地址,基本不可能;那家伙放资料下载的网站,我还仔细看了一下,真验证了"疯狂的石头"里的一句话:公共厕所嘛,想来就来, 想走就走!这个站是漏洞一堆,不知道有多少小黑客在里留下痕迹.里面全是网页木马,而且同样,最近的日志都没了.
4.  放假的时候,通常我会去爬山,喜欢在山顶眺望整个城市的感觉;喜欢在山顶,清风拂面,让人的心开阔,让所有的烦恼释怀;更喜欢上山的途中,累了休息,体会那种向上冲刺, 向上攀登的感觉;特别是在爬到一处静处,能感受自己的心跳的加速,感受心脏敲击胸腔的那种刺激,仿佛听到心跳的声音,让自己感觉无以言比的真实.那一刻, 才能真正体会爬山的乐趣所在.
  还没在山顶休息够,兄弟的电话就过来了.一连两天没动静,今天银行那边传来消息,钱动了,但并不是取走了,而是用网银转账了.
  等我赶到,兄弟又给我详细的说了一遍,本来全面监视着账号,没想到账号里的钱通过网上银行,转了4000多到一个在T宝上开店的店主账号,店主账号,身份都是实名,有具体地址,那边已经初步调查了,反馈回来的信息是店主收到一个留言:您好,我看中了贵店的那款ABCD型手机,由于没有支付宝,直接给您转账了,转账金额4600,用户名为胡XX账号95588040......收货地址为:河南省洛阳市涧西区XX花园D-501 颜小玉收.我问兄弟,银行那边查到转账的IP是哪的,兄弟说,韩国的IP,这次还真碰到个老油条了.我说,既然网上查不出问题,也得不到信息了,直接去河南,查那个收货的颜小玉,不就水落石出了,八九不离十就是那家伙了.
  兄弟去河南的第二天,传回来两个更迷茫的消息:账上又多了5000,颜小玉的家里的电脑和工作单位的电脑没有查到任何问题,据她本人交待,自己并没有在网上订手机,也不知道这回事,当然,也不认识那个假身份证上的胡XX.
  原本一起网上敲诈案,搞的人越来越糊涂了,通常网上犯罪,一般由网警处理,但现在是网上信息一堆,却得不到有效的信息,而且账上又多了5000块钱,可能又是另一起敲诈,兄弟这边只能向上级反映具体情况,他留在河南继续调查颜小玉的生活圈子,看是否存在她的朋友或者熟悉的人犯案.然后请刑事那边帮查账上 5000元的来历.
  桌上一个小纸条,上面写着一个IP,就是那个韩国的IP,从兄弟那回来后,我一直在分析这台机子.真正的高手,会不屑于用别人的代理,从来都是自己抓肉鸡,自己再给肉鸡补好漏洞,只留一个供自己用的后门.如果真是这样,说不定这台韩国肉鸡里,能发现一点线索.
  仔仔细细的扫了一遍这个IP,返回的结果是机子只开了1433和1988两个端口,连80都没开,不用说1433肯定是开了SQL服务,80端口都没开,肯定这台肉鸡应该是一台数据库服务器.不知道是不是扫的SA权限弱口令进的系统,就算是,现在扫出来的并不是弱口令,很可能就是那家伙改了密码. 1988端口到不常用,难道?试着用远程桌面连接登陆,果然登陆上去,原来那家伙将3389改到了1988端口.没有密码,也只有干看着,干瞪眼的份.
  没头绪的时候,我喜欢用笔在纸上画,想着那家伙入侵这台数据库服务器的可能的方法.(1)没开80,不可能是通过WEB漏洞;(2)1433溢出?我也试过了,没戏;(3)1433的管理权限(SA权限)弱口令,有可能,但就算当初他是通过弱口令进的,现在也没了,因为扫不出;(4)数据库服务器一般是为WEB服务器服务,邻近IP如果是网站,有可能就是调用的这台数据库,也就有可能突破,就算不是调用的这台服务器,如果在同一网段,也有可能能嗅探到数据库的密码.看来,只有这条路可行了.
5.  喜欢玩黑的都知道,要找好用的肉鸡,最理想的就是韩国鸡,可能是国情的原因还是什么,韩国一直对黑客和网络入侵判的比较严,所以韩国的黑客很少,直接导致的结果是国内的服务器,存在着很多很多幼稚的漏洞,安全意思相对较差,就连初上手的小黑,都可以拿着S扫描器扫一堆SQL空口令的韩国鸡出来.有攻才有防, 我觉得防总是建立在攻的后面,现在全国的小黑特别多,虽然造成网络上的许多的麻烦事,但有一点至少可以肯定,他们间接或直接的增强了国人的网络安全防范意思.  随手打开相邻的IP,果然出来一个商务网站,ASP写的站点,首先让人想到的就是注入,因为韩国网站,ASP+SQL做成的网站,十有八九有注入漏洞,这也成了国内小黑抓肉鸡的一种快速方式,一年前,用GOOGLE随便搜出来的韩国ASP站点,挑一个就有漏洞,当然,现在的安全比以前好多了.
  整个站大致看了一遍,安全比我想像的好,至少注入漏洞补了,后台到是猜到了,但没密码.拿扫描器扫了一下,端口只开了80,得不到啥有用的信息,看来又不好下手.没办法,只能无聊的在网站上慢慢翻,韩文是看不懂的,只能凭感觉跟图片判断页面的意思了.网站的版面并不太多,跟大多的商务站一样,主要是些产品介绍,公司新闻等,再一个留言版,在留言版面折腾了半天,看能不能写SQL代码,结果无功而返,难道就没法下手了吗?
  郁闷的时候,我总是喜欢拿起我的大杯子喝水,以前还学会抽烟,后来写程序的时候,更是每晚恨不得抽掉一包,再后来就是喉咙哑加咳嗽,自己知道不能再这样下去了, 硬是忍了两个月,把烟戒下来了,但留下一个毛病,一思考的时候,就想拿吃的往嘴里送,演变到现在就是一直不停的喝水.    喝着喝着, 想到网站产品图片那么多,应该有个上传图片的地方吧,在网站后台路径随手加了个UPFILES.ASP,竟然真出现了上传页面,而且并不要权限,这下应该有戏了.直接上传个ASP木马上去,结果不成功,弹出的页面应该是不支持ASP文件,可想而知,肯定是做了限制的,于是只能抓包,用UE改后缀加空格, NC提交成功.在IE栏里输入上传木马地址,打开,出现了可爱的登陆窗,真是柳暗花明,感觉自己运气一下好了起来,接连又喝了几大口水.
  现在是有了一个SHELL,但权限不大,只能看看网站的文件,执行简单的DOS命令,输了一个查询端口命令,果然看到这台机子连着SQL服务器的1433端口,看来我的想法没错.心里一动,赶紧去翻网站上的数据库连接文件,呵呵,SQL服务器的连接账号密码全在,而且是管理SA权限,看到下面有一段通用防注入的代码,又看到这个文件的日期,不觉笑了,原来那家伙是通过注入进来的,然后给补了注入漏洞,这台网站服务器估计他没有拿到管理权限,所以连这个文件的日期改动了他都没还原.  赶紧用SQL连接器,输入IP,账号和密码,点连接,等的过程中,又兴奋的喝了两口水,当弹出窗口弹出无法连接时,还有半口水硬是呛了我半天.NND,难道还做了IP限制,只好传了一个带SQL命令的木马到网站服务器,连上去后果然没问题,加了个管理员账号密码,远程登陆上SQL服务器的1988,就这样进了这台SQL服务器.  
6.  打铁要趁热,进了SQL服务器后,先就直奔系统日志,SQL日志,心里还希望那家伙能粗心大意一下,结果还是不能如愿,所有的日志都被清空了.这时的感觉,就像拿着藏宝图,一步一步来到宝洞前,却发现没有门的钥匙,只能在门外徘徊,干瞪眼的份.到这里又没有进展了,只好作罢,在SQL服务器里加了一个登陆监控的小程序,隐藏进程的小东东,如果有人登陆, 自动记下登陆IP,生成一个TXT文件,然后删了增加的账号,清除了所有我留下的日志(俗称擦屁股),走人.
  多半情况,入侵一台电脑,运气占了很大的成份,其次才是技术和经验,如果那个家伙再不用这台肉鸡,那我所做的这些都是白费.一个晚上脑子里都在胡思乱想,睡不塌实,第二天一早,又传来不好的消息.
  跟上次一样,T宝的店主收到同样的留言,同样买了一部手机,又用掉了4000多块,这次的收货人换了:云南省昆明市解放路XX花园1506 张丽,我连忙问转账留下的IP是我多少,得到的就是那个SQL服务器的IP,心一动,赶紧重新加账号登陆上去,查看监控程序生成的TXT,上面记录着一条信息,登陆IP和时间,查了一下,IP来自中国北京的一个机房的IP,扫了一下,但没有任何反映,扫不到任何端口和信息.时间就是凌晨,那家伙就在我们眼皮底下把钱转走了.
  上面对这个案子也越来越重视,同时也是施加了更大的压力.下午,兄弟从河南赶了回来,领导召集所有办案人员,开了一个分析会.
  黑板上写着详细的案件信息:报案人,两个收货人,银行账号,T宝店主,还有嫌疑人,以及相关的日期等.兄弟汇报了在河南调查的结果,那个颜小玉平时挺喜欢上网,长的比较漂亮的女孩子,在网上的网友肯定很多,她始终不知道到底是谁给她寄的手机,而且有网友在网上说过会寄礼物给她,她也不确定是不是那个网友,因为以前聊天只是开玩笑,而且也不记得有没有给过人家自己的地址.兄弟记下了颜小玉的QQ号,网名,以及那个网友的QQ号,就赶回来了,我也汇报了两次都是用的同一韩国肉鸡登陆的网上银行,而且还得到一个来自北京的IP登陆这个肉鸡,但这个IP扫不到任何信息,只能靠IP判断是来自一个电信的机房.其它的的人员也分别汇报了相关的信息.接下来七嘴八舌的讨论,大概有分析:frown:1) 两个收货人都是女孩子,而且相隔这么远,会不会是她们有共同的网友或者熟悉的人做的事;(2)两次转账交易都是在同一店主里买的手机,会不会跟店主有关系而我们只查了表面;(3)嫌疑人为啥买手机送人;最后一个问题就是,那个家伙到底会是谁?讨论最后领导又分配了任务,一组负责查两个收货人和她们的共同熟悉的人员以及网友,一组查T宝店主,我跟兄弟负责查北京的这个IP.为了不打草惊蛇,账号暂时不冻结
.7.  各斯其职,我和兄弟又查了一遍北京的那个IP,仍然是没任何信息,感觉就像是,电脑压根儿没开,或者装了防火墙,屏蔽了所有端口.兄弟只好打电话向那边机房负责人询问, 核对了身份后,对方反馈回来的消息是,这个IP并没有分配给机房的机子,也就是说,机房里没有服务器用这IP.我跟兄弟说,怎么可能,难道有人利用这个 IP没有分配使用,用拨VPN的方法,利用这个IP上网?这样的话,机房里肯定有一台机子开了VPN服务.
  由于到机房查路由分析具体是哪一台机子开VPN,数据是否是通过VPN服务器中转,得一些办案原件,兄弟于是连忙坐飞机赶到北京机房,我则继续利用手上线索,寻找信息.  扫描了一下整个子IP段的所有机子的VPN端口,在子网内发现了两台服务器开着VPN服务器,估计那家伙肯定是拨号到其中一台服务器,然后分配了那个没使用的IP,这样,信息就通过这台服务器中转,并且并不会在服务器上留下信息,只会在VPN服务里有拨号的IP地址.如果服务器里的日志被删除,那就只能查路由里的信息了,好在只是一个子网的路由,影响应该不是很大.
  轮到我没事做了,倒是可以分析子网内的机子,或者拿下其中一台的权限,然后通过嗅探,看能不能得到想要的VPN的账号,密码等,但如果那家伙不登陆,那就啥用也没.而且工程量也太大.所以还不如放松一下,等着兄弟那边的好消息吧.  
  把那两个开VPN的机子IP发信息告诉给兄弟,要他重点查一查.过了一天,各方面都反馈回来了消息:frown:1) 颜小玉和张丽两人都在一个交@友网站里注册过(用GOOGLE搜她两人的网名时发现的);(2)她们有在交%$友网上认识的共同的网友,两人都在交$友网的QQ群里.(群里的人员比较多);(3)交%友网的安全并不理想,办案的同事把交$友网的数据库下下来了,里面有所有会员的全部信息.(包括会员的住址,联系方式,QQ,手机,上传的照片地址等);(4)T宝店主的详细信息,21岁,在读大学生,因有家人做手机生意,所以在T宝上开了个店,挣点学费和生活费.(其它的有用信息无).我们这边就看兄弟查的结果了.
  摊子是越铺越大,看上去线索是越来越多,但或许这些信息又会误导我们.但没有得出结论前,谁也不能肯定,这些信息到底有没有用,而且还必须相信它有用,并继续追查下去.
8.  下午,兄弟那边有了好消息了,正在往回赶的途中.领导又召集起来开了个会,原来账上中午又多了5000块,领导经过考虑,决定先冻结那家伙的账号,不能让损失更一步的扩大,同时,交待各组加快速度,把重点放在交#友网的QQ群里的人,很有可能嫌疑人就在里面,再其次调查一下T宝店主的网友情况,或者在学校的朋友情况.网上追察和网下调查同步进行,两边都不能放松,有最新消息,及时碰头交流.  领导考虑也有他的道理,账上钱是一进一出一进一出的,再不冻结,损失肯定是扩大,但只要一冻结账号,嫌疑人肯定会进行他的下一步动作,至少首先会清除痕迹,就是擦屁股,怕的是,到时就算找到嫌疑人,证据还不一定能取的到.
  兄弟一边给领导汇报,一边把打印出来的部分路由日志给我看,一部分他都在上面划了标记.日志很清晰明了,最近两次,那家伙拨VPN连韩国的SQL服务器,两次IP不同,但是MAC地址(网卡地址,在网上具有唯一性)一样,那个IP的数据都是通过其中一台开VPN服务的机子转发出去,路由里每一个连接都记的清清楚楚,时间上也是吻合.查了一下那两个IP,都是一个大城市的电信ADSL拨号IP,因为MAC地址相同,应该可以断定这台电脑,就是始作俑者的电脑,一般的"小黑",不会用ADSL拨号的机子去做肉鸡的.
  兄弟汇报完,领导马上批示,请求对城市电信相关部门配合,查此MAC地址的 ADSL账号,查清楚拨号号码,确定嫌疑人以及犯案电脑.兄弟回来屁股都没坐热,马上就往那个城市赶去.我心里也是一阵激动,现在虽然没我啥事了,但现在进展顺利,很快就可以查到那家伙的电脑,不觉很是期待.    我的桌子上还有我在纸上乱画的些信息,边喝水,边把那个城市名和两个IP以及MAC地址加上去,又看了几眼先前记的,报案人,两个女孩子,T宝店主,想着嫌疑人跟他们中间,到底谁会有联系,或者就是其中的人.看来看去,还是没啥头绪,干脆去找领导.
  人说:三个臭皮匠,顶上一个诸葛亮,我把那个城市名和两个IP以及MAC地址写到黑板上后,大伙都看出了一个相同的地方,就是这个城市名跟T宝店主上的大学城市相同,难道......原本还有一位同事在那边,刚好兄弟赶了过去,领导给他们分别交待了这边的信息,要他们汇合一起去查.
9.  有电信的配合,查ADSL电话就快了,地址,姓名很详细,兄弟跟同事还有当地的同行马上赶了过去.房东给他们介绍,房子他租给一位在校的大学生,一个小伙子,电话登记的是房东的名字.房子离大学不远,兄弟就跟房东一直在那等着,直到放学,一位小伙子走进那所出租屋.
  当一队人进了屋子,说明来意后,那家伙表现的竟然是非常冷静,兄弟开电脑取证时,那家伙一言不发在边上看着.等电脑开机后,兄弟检查了一下,心里就说糟糕,账号一冻结,果然就打草惊蛇了,那家伙系统肯定是重做了,里面啥也没有,查了一下MAC地址,还好,网卡没有换,MAC地址就是那个.  兄弟马上走出来给领导汇报了现在的情况,说电脑里查不到任何黑客工具,但通过MAC地址可以断定就是这台机子所为.领导指示:frown:1)再仔细查电脑里的痕迹;(2)审查那小伙子,争取从他口中得到信息;(3)小伙子跟T宝店主在同一学校,继续查T宝店主,查他两人的关系.
  于是兄弟分成几组,一组带电脑跟那家伙回当地局里,一组去查T宝店主,一组继续在屋子里查有用信息.到了局里,兄弟给那家伙电脑里装了一个找回格式化和删除文件的工具,慢慢扫所有硬盘,看能不能找到那家伙删除的信息,如果那家伙只是格式化了一遍电脑,应该是可以找回来一部分格式化前的信息,说不定可以找到有黑客工具,入侵记录等.(网上这个工具很早就有,用过的都知道,其实兄弟们平时,也用的就是这个工具而已)
  另一个同事一直在询问那家伙, 得到的回答是,不知道,不清楚,看着他冷静的模样,同事直想上去扁一通,让那家伙开口.兄弟把整个硬盘扫完,看着显示的结果,心又凉了,NND,那家伙不是低级格式化了硬盘,就是把硬盘格了三五次了,啥删除的信息都找不到."小黑"们平时用的工具,一般会放一份在网上存储空间里,或者备份到移动硬盘,另一组查屋子的,把屋子查了个遍,好像也没发现有移动硬盘.查T宝店主的那一组也传回消息,两个认识,那家伙一直在追求T宝店主,但对方一直是若即若离,保持着同学和朋友的关系而已.现在是动机有了,作案条件也有了,但那家伙就是不开口,案情到这一步,又停了下来.
10.  虽然看上去,事实已经很明了了,但没有证据,那家伙不开口,兄弟也没办法.那家伙文文弱弱,肯定是不经打,也不能打的,那都是多少年前的做法了,现在时代也不同了,凡事都要讲证据了.
  一个晚上,那家伙还是同样不开口,到第二天早上,兄弟找到那家伙的辅导员了解情况,最后通过同学了解到,平时见过他有移动硬盘,而且那家伙每天中午都在宿舍休息.终于在宿舍他的抽屉里,找到他的移动硬盘,所有的希望都寄托在这里面了.只要有充分的证据,就不怕他不开口了.果然,当那家伙看到移动硬盘时, 脸色马上就变得苍白,兄弟接上移动硬盘,打开一看,里面黑客工具分的明细清清楚楚,什么远程控制,注入工具,捆绑工具,加壳脱壳,教程等,还有一个专门的文件夹,叫自己写的小工具,里面就有一个用VB写的往WORD里写数据的工具,在另一个专门的文件夹里,许多TXT文档有免费域名密码,许多邮箱密码,被黑网站地址等.接下来就好审多了,兄弟一直看着他,让他把作案的过程讲一下.一个人的自信,在另一个更自信的人面前,被这个人把他伪装的自信击破后,剩下的就只有自卑和恐慌了,沉默过后,那家伙终于开口交待了.
  旁观人可能无法理解当事人的想法,可能是因为站的位置不同吧,他的理由竟然是如此简单:她在T宝上开了个店,由于暂时没有啥信用评价,没啥生意,他就想帮她,于是就有了这件事,为了不让人怀疑,他故意把手机寄给两个不认识的人,两个人的地址,就是从那个交友网站的数据库得来的,那是他以前的战利品而已.
  兄弟只能在心底无奈的叹气,凭这家伙肯钻研的精神,将来说不定会有大好前途.
  那些报案人的资料,全放在一个网上免费硬盘里,打开他的免费域名和远程控制软件,上线的肉鸡竟然还有好几百,如果不是及时破案,还不知道有多少受害人.
  下面是笔录的一部分:
  问:这么多肉鸡,怎么来的?  
答:在一些网站上挂的网页木马,然后上线的  ......
  问:那你是怎么确定人家会付款?
  答:基本上那几台电脑我都盯了几天的,都是公司的高层吧,我看他们的资料都挺重要的,想肯定会付款找回资料吧.  ......
  问:拨号的VPN是怎么来的?
  答:是网上一个兄弟给的,好像是他公司客户的服务器,那个兄弟在一个空间租售代理公司.  问:韩国的服务器是怎么入侵的?
  答:用的SQL注入漏洞进去的.  
问:具体点.
  答:就是用NB扫的注入漏洞,SA权限,直接就加了用户,然后改了远程登陆端口.
  问:那注入漏洞是你补的?
  答:嗯,因为漏洞太简单了,别人也容易进,所以我在WEB服务器上传了个马,把注入漏洞给补上了.  ......
  这个案例,到此算是告一段落了.留给我们的,是心里的无可奈何和伤感.同时,心里也在感慨,如果网卡没了,移动硬盘没了,我们还会不会如此轻松,如果第二次他换一台肉鸡......

No comments:

Powered By Blogger