【电脑】江湖

这篇东西，很早以前就想写了……

在过去的两个星期……感觉……就像是在江湖当中……

博客风，使用的是www.yanruyu.com的服务器。

在上个星期的时候，便发现www.yanruyu.com的页面被黑客篡改，添加了一段IE木马的代码，使得所有浏览颜如玉网站的用户，都有可能被黑客攻击……事实上，安装好各种补丁的用户是很少的……说颜如玉网的浏览者，大部分中了这个IE木马，也是很合理的……

网站已经不是第一次被攻击了……我经手处理的两三次次都是通过网站论坛的漏洞来篡改页面的……

因为，网站用的是动网论坛……针对动网的攻击工具早就泛滥成灾了……我所能做的，只能是保证论坛使用了最新的程序……一有补丁出来便安装……

练武的人，一般也只能是练好自己的功夫罢了……

发现招式上的破绽，便尽力去补吧……给服务器、给程序打补丁，便是这么个道理……

黑客，一般也都是使用现成的工具而已……对付windwos服务器的工具，是各种ASP木马……想办法传一个上去，那么，服务器上的文件，一般就能够随意修改了……

我搜索了服务器的所有近期有修改的文件……果然揪出来若干个在不同目录下的asp木马……立刻删除……并且恢复的网站页面……

检查论坛的数据，发现被添加了一个管理员帐号……立刻删除……

事情，到目前为止，还是比较顺利的……问题是，近期并没有公布些什么动网论坛的漏洞啊……论坛使用的程序已经是最新的了……

问题，果然很严重……很快，网站页面又再次被修改……

又发现新的木马……难道，是我之前的搜索不彻底？

同时，也证实了论坛上新添加的管理员帐号是站长自己添加的。

上服务器仔细一看……甚至已经多了一个adminitrator权限的帐号……并且……NTFS分区的权限已经被修改过了……

事情，已经超出我的控制能力范围了……

搜索了对方在网站页面中放的IE木马……是icyfox……一款宣称是完美的IE木马……的确是很完美……至少，我用的诺顿，对它熟视无睹……反倒是学校电脑中安装的Office Scan对它有反应……

已经是在寻找救命稻草了……便给一个著名网站的论坛的网络安全版版主发了封信求助……

同时，删除服务器新增加的帐号，修改回原来我设定的各种权限……不过，这些，我很清楚是徒劳的……对方可以改一次……并且，我不知道对方是怎么改的……我现在改回……对方是随时可以再改的……

侵入服务器的黑客，明显是属于高段数的黑客了……因为，服务器的系统，一直都是安装好了各种各样的补丁……侵入一台没有打补丁的服务器是那些只会用现成工具的菜鸟黑客可以做到的……我也可以……但是，系统一直都是安装有各种补丁的……

知道身边刀光剑影，也知道中招了……但是，就不知道对方是从哪里如何发招的……

很神奇，那个版主，居然在QQ上加我了……他愿意出手帮忙……

接下来，基本，便是这个版主在跟黑客过招了……

系统虽然安装有补丁，但是，有很多windows默认的设定是不安全的……立刻修改……

同时，也发现了对方侵入系统的痕迹……在一个windows目录中，发现了各种远程控制软件……

版主看了这些控制软件的列表……大概已经清楚对方是如何侵入系统的了……

是利用serv_u的本地溢出……的确……服务器使用的serv_u版本很旧……事实上，托管服务器商亦曾经发信通知serv_u的溢出漏洞问题……这些都已经是很久很久以前的事情了……我一直认为只有获得ftp帐号的人才可以利用这个漏洞，所以问题不大……现在看来，我错了。

嗯……找到助拳的后……事情看上去已经很好解决了……

删除掉黑客留下的各种工具……升级serv_u到最新版……

结果……页面很快还是再次被窜改……

对方上传asp木马就好像是跟玩似的……

只能够从别的方向努力了……

故意把对方上传的asp木马删剩下一个……检查IIS的日志……找出究竟是谁在调用这些木马……

并且，备份对方篡改的文件……因为，种种迹象表明……对方还是掌握着服务器的控制权……我无法知道他是否有利用服务器去攻击别人……倘若没有这些“证据”，新的受害者追查到服务器这边来，我是跳到黄河也洗不清的……

很快，查出来攻击网站的IP了……是一台服务器来着……很明显，黑客是用这台服务器做跳板……以便隐藏自己的IP……

不知道，是否有人在问黑客为什么要攻击服务器……为什么要在页面中放IE木马了……

那个版主说，对方是为了钱……

我是这样想的……当通过网站侵入了很多浏览者的电脑后，黑客便可以很容易的获得一些QQ密码啦……网游的帐号啦……等等东西……这些，都是可以卖钱的……

实际上，这个版主，本身也是个黑客……也是靠这个行当吃饭的……

我在搜索硬盘数据的时候也发现……系统很可能是在去年12月份的时候已经被侵入了……

只是，对方一直没有动作而已……他为了保留住系统的控制权，应该做了大量的工作……之前所找出来的那些侵入软件，应该是他早就没有在用的了……

服务器，应该是被侵入到了内核了……被rootkit了……

用rootkit扫描工具扫描……已经有了注册表中有很多administrator都无法访问的项目……硬盘中已经有了很多windows api无法访问的文件……

找出对方使用的rootkit工具……对症下药才可以解决问题……

不过，知道自己中毒了……却不知道中什么毒……很是迷茫……

常见的rootkit扫描工具都用了……都没有实质性的结果……

如果，把rootkit比作一门武功……一种武林秘笈……那么……获得了它，便可以为所欲为了……

同样的，也会有针对各种rootkit的工具……也是有克制对方的“武功”的……

一个江湖来着……黑客、防卫者，都在争夺着彼此的“秘笈”……

那些能够自己创出武功……编写秘笈的人……便是武林神话了……

并且……还是有门派的……木马的是木马派……DDOS的是DDOS门……有的人是炼招式……有的人是炼内功……不过，都是可以杀人的……

事情到了这里，顶多，也只是到了一半而已……

那位素不相识的版主，虽然在从服务器上找出对方使用的rootkit方面进展缓慢……但是，他却成功的侵入了对方用来篡改网站的那台服务器……拿到了对方在那台服务器上建立的管理员帐号的密码……

对方，甚至是有删除那台服务器上的日志……想要“清理作案现场”……

对方是高手来的……技术上的招来招往……不一定有用……

我采取了更加直接的方法……

在服务器上留言……

假装成一个路过侵入这台服务器的黑客……说网海茫茫……大家居然黑上同一台服务器了……真是缘分……留了QQ号码……就看对方下次登陆的时候，会不会来加我了……

倘若有了对方的QQ号码……便可以了解到他的更多资料……退一万步讲……即使要跟对方谈判，也有了谈判的渠道……

对方如果只是在“玩”的话，当他发现自己的QQ号都被人知道了……他一般都是会收手了……因为，事情对他来说，已经不好“玩”了……

问题是，对方反复的玩修改页面，添加IE木马……背后明显是有金钱利益驱使的……他不是在玩……他是靠这个吃饭的……

所以，留言这招……是很冒险的……要是打草惊蛇了……对方变得更加警惕，吃亏的，还是偶这边……

在江湖上混……有的时候，兵行险招也不是不可以……重要的是要有效……

一个纵横天下的大侠……任凭武功再高……也有可能被蒙汗药这种下三滥的手段击倒……

只是，如果你毒不倒他，你就得面对对方的武功发作起来的恐怖了……

关于江湖的故事……到这里便是告一段落了……故事后面还有很多……

不过，江湖味便没有那么重了……

竹攸 在 3/20/2005 6:40:12 PM 说:

好汗～～这学期刚学了network security，还是很多看不懂。wuvist 加油啊！
不过单从文章看，实在好看，可以要求续集么＝p

---

kat2e 在 3/20/2005 1:36:45 PM 说:

鄙视黑客。鄙视鄙视鄙视。

世界上那么多能赚钱的职业，干吗非要干这个呢

---

coming 在 3/20/2005 5:02:27 AM 说:

着的我就像看小说一般
我自以为懂点DNS,TCP/IP
曾经扫描过全部IP邻居……
知道其OS,opem port
就如何如何了不起了……
洋洋得意的去下载别人的私人文件……还会读它一遍。

现在看看，wuvist文中的名词，就没有几个看得懂的。
自尊心受严重打击，我还是自废武功吧。
或许还可以参禅悟道什么的……

---

小猫睡饱饱 在 3/20/2005 4:52:12 AM 说:

晕....老大我不是说你....我说GriGri呢....

---

小猫睡饱饱 在 3/20/2005 4:51:11 AM 说:

楼上的

跟我回水库

别搁这儿骂脏话让人家笑话你

对不起了各位

我小弟不懂事

多担待

---

Patrick 在 3/20/2005 4:42:37 AM 说:

情况和我发现的时候差不多一样,不过太迟了.

---

froggyfrog 在 3/20/2005 4:37:28 AM 说:

精彩啊。。。
短兵相接，要加油啊。

只是。。只是我们的网志会被黑客删除吗？
怕怕。

---

万分支持某猪的老猫 在 3/20/2005 4:21:44 AM 说:

我晕，小孩把沙发占了。

---

万分支持某猪的老猫 在 3/20/2005 4:21:21 AM 说:

虽然省略号又多了起来，不过我觉得这篇东东是你写过的最好的一篇，咔咔。

---

GriGri 在 3/20/2005 4:18:16 AM 说:

考，那Sgchinese的Format，不算什么了吧。

---