关于匿名者组织的疯狂拿站和统一黑页显示时间的行为,相信大家已经见怪不怪了,但是当匿名者组织开始侵略中国网站的时候,相信大家都坐不住了。首先,个人感觉反击的意义何在,或者说究竟有没有意义,笔者不是哲学家,思想家,不做过多探讨。但是,知己知彼确实是必要的。笔者对前一段时间,国内地方GOV被疯狂秒杀的一次行动做了一次没什么技术含量的分析和猜想。

(以下敏感域名用WWW.XXX.COM略过)

首先,笔者登陆了FACEBOOK找寻了一些热议的话题:

(以下为GOOGLE翻译,英文不好,只好找谷大哥帮忙)

1.中国3000+政务工作网站 匿名者成功获取权限

2.匿名者再次攻击亚洲各国,宣传独立自由 在网络中

3.亚洲强国网络安全成为匿名者的击打目标。

以上是通过匿名者为关键字模糊搜索的热议转载,基本每个热议都指向匿名者发布新闻和预告信的推特,笔者只好继续翻阅防火长城登陆推特,观看了一些匿名者发布针对亚洲和其他洲的攻击成果发布,评论中充斥着各种赞扬与羡慕,当然不乏我国人士(最大的悲剧),当然,也有进行技术分析的人,有一条评论中带有这样一个域名:

www.xxseo.com(化名)

接着,笔者C段了一下:

IP:

XXX.XXX.XXX.200

XXX.XXX.XXX.201

XXX.XXX.XXX.202

XXX.XXX.XXX.203

XXX.XXX.XXX.204

XXX.XXX.XXX.205

``````````````````````````````

以上IP全部指向中国某省级机房

OK,就这个IP段开始旁站扫描,得到无数四级域名:

XXX.host1068.xxxseo.com.cn

XXX.host1079.xxxseo.com.cn

XXX.host1081.xxxseo.com.cn

XXX.host1083.xxxseo.com.cn

XXX.host1093.xxxseo.com.cn

XXX.host1099.xxxseo.com.cn

·····························

相信看到这里,大家应该明白了些什么,当然笔者还是打开验证了下

无一例外,全部是政务网站,各地GOV。

XXX.host1099.xxxseo.com.cn

都是IDC机房托管的分配四级域名,实际绑定是WWW.XXX.GOV.CN

笔者继续扫描旁站,并导出所有URL(四级域名)

将导出的列表批量经行绑定域名反查,得到实际绑定域名结果列表。

在工具经行这些自动化扫描导出的时候,笔者继续做着准备,将匿名者在推特发布的攻击我国站点的列表下载了一份,可以不是文本,图片质量又狂差,只能美图秀秀去个雾(不会PS的伤不起),勉强看清了URL。

准备工作做完,手上有两份列表,一份是扫描旁站得出的IDC C段的GOV站点 URL列表。另一份是匿名者发布的攻击我国站点公开列表。

然后笔者比对了一下,相信结果大家都猜到了。

IDC下的163个GOV站点,有112个在匿名者攻击列表中,当然匿名者公布了3000+个。

好的,对匿名者每次行动的印象让我立即从庞大组织的集体攻击,变成了组织性的批量拿站。

这个时候,笔者又有了另一个猜想,即使是批量攻击,整个C段也是要花时间的,于是笔者爬行了5个网站的目录,BINGO,全中,居然是一模一样的目录结构,好的,原来是一个公司的业务啊!统一的建站系统,统一的OA系统,统一的邮件系统,统一的VPN登陆远程办公系统,好吧,你赢了!

clip_image001

关键是,统一的后台,统一的弱口令!!!好吧,你又赢了,给GOV做网站业务,您就不能随机生成密码给管理员么!

有了这个验证,笔者继续猜想和验证,如果这些服务器全部在自己手上,那把站点全部黑掉,集体挂黑页是更轻松的了吧?是不是服务器本身就有问题呢?对这些IP经行端口扫描,发现了都存在999端口,访问后是···················phpmyadmin?

clip_image002

clip_image003

好吧,空密码不对,默认密码也不对,笔者来到了这个强大IDC公司的官网,资料下载中有:PHPMYADMIN····一键部署程序????

clip_image004

好吧果断下载下来,原来也是ZKEYS的程序,默认密码 ROOT ZKEYS 好吧,现在100+台政府公务服务器,完全可以用这个万能钥匙登陆PHPMYADMIN经行SHELL导出了,然后提权···批量替换首页么??

不用,匿名者只需将服务器IIS所有的域名指向一个有黑页的ip就可以了。好吧,惨不忍睹···

剩下的总结和发散联想 就交给大家了,不是对手太强大·····填空题

源链接

Hacking more

...