RSS Feed
更好更安全的互联网

说说你的网站被黑经历

2013-03-25

上篇我八卦了下QQ空间钓鱼的黑产背后,收到了一些“威胁”,不过我知道多半是玩笑,毕竟我没爆出什么真的亮点,而且这点小文字,根本影响不到这个黑产集团的利益。不痛不痒。

黑产的八卦放一边,以后慢慢来,一些留言希望我继续科普黑产的同学,先别急。

今天我想说下“被黑经历”,也欢迎各位投点料(自己网站被黑经历)给我:)

2012年11月21,早7点,我发现我的博客被黑了,如封面这张图,说:“i'm sure your site have no xss by the venus hacker”,这英语很有chinese范,我当然不相信谁会用XSS来攻击我用WordPress搭建的博客系统,这年头WordPress的高质量XSS不容易得到,我很快就想到了我是怎么被黑的了,洗漱完后,打开电脑开始排查:

1. 黑页里的特殊指纹,利于我追踪;

2. 网站请求日志;

3. 我的网站源码里是否有后门;

调查黑页不仅仅是为了拿到里面的特殊指纹,还有想看看是否有植入网马(如果有这个,那这个黑客太狠了,我非得把这个人挖出来并曝光),或者更邪恶的XSS攻击(这个我估计很多很多人都想不到,如果有这个,我会很尊敬这个黑客),我如此谨慎是因为如果是我要做些邪恶的事,我会这样做。

结果这个黑页很普通。于是开始查看网站请求日志(如果是我猜测的攻击手法,日志里不应该有什么明显特征),果然日志里没什么奇怪的,基本肯定了我的猜测了。

但是我还是不放心,既然是我猜测的攻击手法,那这个黑客如果不是仅仅“just a joke”,那肯定还会留下后门,WordPress那么多文件,我如何最快的速度确定是否有后门呢?

我用Python脚本改写了两个程序(幸好之前我有积累),一个脚本分析全球常见后门(Webshell)特征(允许误报),一个脚本对比我之前备份过的文件Hash(担心被篡改植入一句话后门)。

半小时后,完成了这些检查(如下3张图),看来这个黑客仅仅是想开个小玩笑而已。

那这个我已经猜测到的攻击手法是什么呢?很简单,我博客所在的主机权限配置很脆弱,只要这个主机上任意网站被黑,都可能威胁到我的博客,这个主机被黑客拿下了,然后看到我的博客居然在里面,顺手来了个玩笑。

追查完成后,9点我就上班去了,10点后,先后两拨人承认是自己搞的,这个我就有点小纳闷了,不过我已经无所谓了:)其中一人发了我一张图,肯定了我的分析:

我通知过这家空间域名服务商,可是人家态度很不好,不搭理我,这样的主机不知道被多少黑客光顾过,那我为什么还使用这个主机?因为我懒:)

这个小故事到此,我们最近发现了几起有意思的黑客活动,等我爆料,这次我不怕被威胁了,因为他们来自天朝之外。

 

----------分割线----------

 

我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan。

科普改变世界,我们一起努力让这个互联网更好更安全吧!

本文由知道创宇安全研究团队-余弦撰写。

请关注我们的官方微信:网站安全中心

作者:一鸣 燕 | Categories:安全研究 | Tags:

3条评论

  1. 说道:

    被你们黑了,勿报,勿拦截!!申诉1个月了还无果,你们办事效率真高!

  2. zhry077说道:

    其实……这就是我用VPS的原因之一……

  3. Assange说道:

    记得好久以前:

    进谷歌找注入没注入就旁注没旁注用0day没0day 猜目录没目录就嗅探拿不下去自杀爆账户找后台传小马放大马拿权限挂页面放暗连清数据.

    后来离开校园后发现没那么激情了,现已沦为XX科技有限公司的阶下囚。

发表评论