针对国外黑客M3QD4D的分析报告(下)
2.3 Web入侵案例分析II
我们于2013年4月21日在另一个gov.cn的站点上发现了另外一个M3QD4D留下的黑页。这个黑页的地址是:http://www.ajj.zjg.gov.cn/zjg/m3.html,下面是我们调取到这个站点上的信息:
首先我们看到这个页面的创建时间应该是:2013-04-19,09:07:00,其次我们看到一个比较惹人注意的文件夹就是fckeditor 文件夹,因此首先我们就怀疑是FCKeditor的漏洞导致的入侵。翻看FCKeditor设置文件中配置的上传路径,我们可以看到如图所示:
3000.aspx与前面的www.xjjh.gov.cn中截获的脚本代码一模一样,另外我们发现teste.txt的代码也是属名为“M3QD4D”,并且创建时间2013-3-8 18:29远远早于3000.aspx,因此有理由怀疑M3QD4D在3 月8 日或者更早的时间,利用FCKeditor 的漏洞入侵了www.ajj.zjg.gov.cn这个网站。
2.4 Web入侵案例分析III
前面发现的两个入侵案例都是基于FCKeditor网站编辑器漏洞的入侵,我们于近期发现M3QD4D使用了新的入侵手法,同样是网站编辑器,这次是利用了Ckeditor和Ckfinder编辑器的漏洞。
被入侵的同样也是一个以gov.cn结尾的网站:www.jiningrsks.gov.cn,通过对该服务器上的日志文件进行关键字筛选,很快就找到了M3QD4D的入侵痕迹,该服务器为Windows系统,使用的Web容器为IIS6,发现入侵痕迹的日志文件是在服务器的日志目录当中(C:\WINDOWS\system32\LogFiles\W3SVC732319451)的ex130506.log文件。因此可以确定入侵过程发生在北京时间5月6日,下面我们来看一下日志的具体内容。
ex130506.log共有200万条日志记录,我们选取了当中有价值的164条记录进行分析。
我们有理由相信M3QD4D的入侵是从08:03:41开始的:
2013-05-06 08:03:41 W3SVC732319451 192.168.1.10 GET /ckeditor/userfiles/files/ - 80 - 2.145.86.141 Mozilla/5.0+(Windows+NT+6.2;+rv:20.0)+Gecko/20100101+Firefox/20.0 200 0 0 2013-05-06 08:04:54 W3SVC732319451 192.168.1.10 GET /ckeditor/editor/fckeditor.html - 80 - 2.145.86.141 Mozilla/5.0+(Windows+NT+6.2;+rv:20.0)+Gecko/20100101+Firefox/20.0 404 0 3
我们查阅了相关资料,发现ckeditor和fckeditor 的默认上传目录都是/userfiles,因此我们猜测M3QD4D应该是以 gov.cn inurl:/userfiles 这类的关键字搜索入侵目标。因为www.jiningrsks.gov.cn 服务器存在无索引目录历遍文件的问题,所以M3QD4D在08:03到08:11分以前,访问了ckeditor的大部分目录。而后M3QD4D使用ckeditor执行了大量的文件操作命令,最终成功将Webshell后门上传到服务器:
下面是日志记录的截图:
关键部分已经标注出来了:使用ckeditor的上传命令上传一个webshell到网站目录,然后使用GetFiles命令确认是否上传成功,最后将webshell重命名为T23.asp;.txt,这个文件名在IIS 6.0 环境下会被正常解析为ASP脚本执行的,所以我们继续看M3QD4D接下来的动作。
我们依据上面日志获得了一部分M3QD4D使用的asp的webshell后门的特征,如变量raiz,路径中用“|”作为路径分隔符,推断M3QD4d使用的是土耳其黑客的pouya webshell。
这个webshell常被西亚以及土耳其黑客用在IIS 6.0 文件名分号解析漏洞中,但是这个webshell并没有密码验证功能,因此,我们在最后又看到了M3QD4D上传了一个惯用的3000.aspx后门程序。
至此,M3QD4D又完成了一次针对中国政府网站的入侵,前后耗时仅半个小时。
3) M3QD4D这个人
3.1 通过搜索
M3QD4D在www.xjjh.gov.cn/m3.htm留下的涂鸦中写上了自己的邮箱地址,中间有8个下划线:[email protected],然而我们翻到了M3QD4D以往的涂鸦,发现了另外的一个邮箱[email protected]。
这个地址是从他2010年的涂鸦中发现的。不过我们通过搜索,还发现了一个黑客先生使用的邮箱:
这个地址也是在一个gov.cn 的站点上面,M3QD4D在上面注册了一个名为Hacked by M3QD4D的会员,但是这次留下的邮箱是[email protected],这是这个注册会员的个人
资料页面:http://www.jxgl.gov.cn/news2006/ShowSource.asp?Action=ShowUser&UserID=203
我们以m3qd4d为线索,在网上搜索邮箱使用者的信息,发现一个社交网站中有一个名
为M3QD4D的用户,注册邮箱也是我们前面提到的:
这个页面的内容即使我们不翻译,也知道个大概了:
网名:M3QD4D,真实姓名:梅拉德 穆罕默德(دادق م یدمحم),出生于1361年,具体月日转换后应该是6月或者7月26日,换成公元纪年法大约应该是1982年左右的样子。他自己标注了年龄为31岁,那么出生日期应该是真实的,公元纪年还差一个月满31周岁,但是伊斯兰历已经满31周岁。身高介于160到165,体重50到55,家在伊朗的伊斯法罕(Iran ، ناهف صا ، ناهف صا),会抽烟,学历为研究生以上,但是工作还是写着学生,或者因为翻译的不准确可能是教育类的职业。专业是网络入侵和社会学。