|
T00ls管理团队注: 本文于2016年10月31日下午15点多投稿至T00ls管理邮箱,针对文案内容咱们持部分肯定部分质疑态度,某些黑产团队的不择手段咱们是认识部分的,然则是不是如文中所写的所说“中国最大”,咱们暗示观望。另一声明下:不排除这些团队有部分人隐藏在T00ls偷学技术,然则T00ls官方与这些毫无联系。期盼相关分部能彻底查一查,这些黑产团队才是网络安全技术发展的最大敌人。
 ×一.起因对这件事情的起因是某天我日了一个大战(耗时很久的),次日进webshell时就发掘,当前目录显现了新的后门,仔细一查,发掘是BC团伙干的,网站被全局劫持黑帽程序如下代码
https://www.so.com/s?q=%E5%A8%B1 ... newhome&adv_t=d
看上去是针对360的,经过360去搜索site网站赌博关联的关键字显现的结果我惊呆了!!!!居然非常多的站被劫持,况且其中包含我渗透测试的不少站,看上去就像360自己掌控的排名同样,其实是违法份子利用了360的算法漏洞。经过收录时间发掘在2014年起始显现的,亦便是说这个问题已然存在了数年之久,迄今才暴露出来。
接下来我就开展了所有疑问的调查,由于这些东西被利用对社会影响实在太大,不仅我是独一的受害者,而是这个安全圈子的所有人。 ×二.调查
找到幕后团伙
查大马问题 分析团伙的后门特征
1.我对我手里的shell进行了一遍梳理,首要是对后门进行新的位置修改,原来的后门位置放上了js代码,其中记录的是关联指纹信息,以及各大网站的json获取。此时便是静静的等待。
2.我对大马又进行了一遍分析,所有代码读烂了亦没任何问题,同期对马进行了抓包分析,无任何外边请求,由于始终没发掘问题,我特意进行了长达1星期的数据包监控,还是无任何结果。此时候就非常纳闷,既然马无问题,为何人家能够获取到我的所有后门,电脑被入侵?我的网络环境除了http不可做任何协议请求,而我的后门都在这台linux里保留,这点亦能够排除。只好再想想是不是哪里疏忽了。 3.被团队劫持过的站,我都检测了一遍,每一个站的所有文件创建时间都会被她们更新到入侵时间,这刚好符合了特征,亦便是刚被她们入侵过的站
如图特征,几乎每一个站被入侵后所有创建时间都会更新一次
之后对她们自己的后门进行了采集样本,新的发展显现了,一共发掘2波区别的团伙,但运用的大马均为一类。看附件1
我对他的马进行认识密审计后发掘了她们自己记录大马后门的箱子位置api.fwqadmin.com,暂时收集着,此时…由于有了新的线索,因此后面再对这个进行渗透。 ×三.发展
经过两天的等待,最终得到了团伙的指纹信息以及QQ号,而后我就开启大神模式,进行了一顿乱射后,能够确认此人真实信息了(圈内叫老袁),之后我申请了一个小QQ,匿名的加了有些bc导航网站上的qq,问了好几个人,可能由于她们是同行,我一问大都数都认识,后来我以我亦是做BC的名义和她们进行深度沟通,沟通中透露这团伙的shell都是收购来的,一月收入水平在几百万人名币,是不是真实就不得而知了。日前基本能够确认我的判断无错误,老袁便是此刻要查的目的独一的线索。
我对被团伙做劫持的所有站进行了采集,还有转到她们导航的域名。首要对哪些不是我的站进行了渗透入侵采集后门样本,看到里面有个和我类似的大马,然则核心变量结构不同样,我下载回来进行审计抓包一样没问题,后来对比特征,发掘大马请求的POST参数都是同样的gopwd=秘码&godir=
这般的特征相同,马都没反常,此时候初步判断是上层网络显现问题,经过流量提取大马特征的位置,倘若真是这般就太可怕了。
我联系到老袁了,和他进行了有些盘问的沟通,感觉到他很害怕,他说别搞他,他以前做诈骗的。后来发了有些shell位置给我来买好我,如下列表: 下面是 星际团队的http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k
HyhbokskjGrsjhjM8hsL_hgshgK http://www.212200.com/mocuz/down ... e.php?1=2&Z=Opm
Hys7sa5wrKKO00GSBtashras28asNNmsn18 http://www.dailiba.com/about/index.php?v=1
Tmbdcuu123uualltop http://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=k
HyhbokskjGrsjhjM8hsL_hgshgK http://domarketing.org/phpsso_se ... ons/index.php?v=2ss
ytsadAskLs27ssJsjdasd2sS http://www.baby-edu.com/member/a ... /box/index.php?v=qw
ytsadAskLs27ssJsjdasd2sS http://www.hongze365.com/data/avatar/1/f/1.g if?1=2&GSW=Curry
TTrsfsdh748jsusyKKOystw889sbct http://www.xiashanet.com/Head_Fo ... ?1=2&BAT=HEHEDE
77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry
TTrsfsdh748jsusyKKOystw889sbct http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k
HyhbokskjGrsjhjM8hsL_hgshgK http://www.dailiba.com/about/index.php?v=1
Tmbdcuu123uualltop http://www.hubeifc.com/phpcms/mo ... mentl_api.class.php
UTF8 http://domarketing.org/phpsso_se ... ons/index.php?v=2ss
ytsadAskLs27ssJsjdasd2sS http://www.huse.edu.cn/phpsso_se ... condif.inc.php?v=sd
ytsadAskLs27ssJsjdasd2sS http://www.xiashanet.com/Head_Fo ... ?1=2&BAT=HEHEDE
77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry
TTrsfsdh748jsusyKKOystw889sbct http://www.hongze365.com/data/avatar/1/f/1.g if?1=2&GSW=Curry
TTrsfsdh748jsusyKKOystw889sbct http://bbs.fish3000.com/mobcent/ ... .php?1=2&TD=SAS
UUys78tasdRhasd00iasdyTGGgahs http://bbs.dqdaily.com/uc_server ... hp?1=2&sha=shan
7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!P http://www.aquasmart.cn/member/f ... end.php?1=1&f=k
HyhbokskjGrsjhjM8hsL_hgshgK http://www.yangji.com/member/edi ... ?1=2&BAT=HEHEDE
77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.shenma66.com/nvzhubo/ ... hiboshipin/inde.php
7yhaw1woAksmjh892jsasd1sajg http://www.shenma66.com/nvzhubo/ ... hiboshipin/inde.php
7yhaw1woAksmjh892jsasd1sajg http://bbs.taisha.org/pms/data/t ... pl.php?baidu=Google
erk12hj3nfher71h3j4k132bnnebr3hg4134 http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=k
HyhbokskjGrsjhjM8hsL_hgshgK http://www.dibaichina.com/goldca ... ?1=1&baidu=.com
Tmbdcuu123uualltop http://www.ijcz.cn/module/brandj ... p?1=2&BK=ManUtd
YIasdwj78954qwtyVVJsarwhahuyrwvsllps2 http://www.xiashanet.com/Head_Fo ... ?1=2&BAT=HEHEDE
77iasyw00aUUSImmsb64682301jMM!!!Qkos http://www.hotpoll.com.cn/i/index.php?v=111
heiheideheihei
星际团队是什么鬼?难不成又是做bc的?我深入问了他之后,才发掘,这些shell都是另一个做bc的,说是bc圈子最大的团伙,此时候感觉水越来越深,又有了新方向,对这件事越来越有兴趣了,瞧瞧又是些什么人。
不外此刻我的目的还在“老袁”身上,我得找到卖他shell的人,后来恐吓之后告诉了我,我亦叫他供给了交易证据。我会放到后面取证部分。
虽然说有了shell卖家的联系方式,可是迟迟没添加上。此时候我又采取了另一种思路,钓鱼取证,老招数,还是在大马位置上js
json,上面贴了几段字《add me email:xxx@xxx.com I will give you all
webshell》让老袁发给让他主动联系我,后来果真拜访了几个webshell的位置,同期亦抓取到了真实pc指纹以及代理的指纹,他的qq名为:一切安好,之后他主动联系到我经过沟通他说我是星际团队的吧,收到你发的邮件了,此时候我就很好奇了,莫非星际团队亦找到他了?而后来恐吓我,说要抓你们,已然调查了一年了,此时候我心一想,水真深,查来查去的到底是谁在查谁呢。不外他肯定是瞒不外我的,由于我亦有了他卖shell的证据,不外意想不到的是他说他背面都是省厅的人,你以为这些shell都是怎么来的?都是国家设备提取的,我勒个去,国家会干这种事吗?国家提取网站记录我是信,isp保存日志亦是1年,至于批量提取全国网站拜访特征拿出来卖这我不信了,要么便是黑客入侵到了运营商有权限去提取。经过了有些沟通后,他居然始终说我是星际团队,就把我拉黑了,后来我就主动加他,说你是河北的吧我已然有你犯罪证据了,他就怕了主动加我认怂,还发了打包好的webshell给我,此时候我又惊呆了,这简直是逆天的节奏,居然有上万个webshell和国内所有cms的后台登录秘码,其中包含dedecms
discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter
php168等几乎是全国所有cms都存在,况且每种的数量去重复都在上万条,我会上传一部分在附件。他说他背面的人的有几十万的discuz后台登录账户秘码,我测试了他发我的有些后台,均能够登录,其中信息包含登录的fromhash
uid 用户名 秘码 安全问题 安全答案,况且都是前一天的。。。
到底是什么东西能记录如此多东西还无一点反常。我看了其中亦有我运用过大马的非常多站,里面还有上万条webshell,其中有海量我的站,还有海量各样类型的大马,和区别秘码,看样子并非我一个人受害,我进行特征匹配出来,大概有不少于上百人的大马区别特征。况且他发我的只是很小一部分,叫我给他钱才给我更加多。这般一想他手里的资源都有几十万条了吧。他说他后面的人是技术团队,还有各样0day,是给国家干的,手里有全国的webshell,倘若真是他说的这般资源为何出此刻他这儿了还拿出来卖,很显著是撒谎怕我查他。接下来的调查还在继续。 经过几天的分析,这波数据和以前wooyun揭发的出来的九宫格(大众能够回溯一下2013年的http://www.dedebox.com/core/centerxxxxx.php
)是同样的,我对当时的数据亦进行打包分析了发掘这波shell里面还存在部分的重复数据,而当前这个大马和当时九宫格的登录参数特征亦一至基本都是Spider
PHP
Shell(SPS-)这款代码的基本上修改的,亦便是说除了后门本身这伙人是经过其他途径来提取的海量webshell,之后经过webshell去运行了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这亦还是猜想,由于后台数据里面有些站的确是九宫格重复的,倘若是九宫格后门的话我就有新方向可查了,以上是我进行的大致分析和调查过程。下面我就不描述过程,过程太繁杂,耗时亦几个月,触及到的人员都有可顺藤摸瓜的信息,就直接供给数据记录以及取证结果,和交给警方的完成为了。 ×四.取证
在中国此刻怎么可能还有如此猖狂的黑产呢(除了电信诈骗),都必须绳之以法。 这几个是团伙一(老袁)转到的域名
116305.net
559160.net
618309.net
786077.net
551809.com www.919808.netwww.226830.com
均为同一团伙的,只是域名区别,其中劫持代码里面的ip都是同样107.182.228.74,只是每一个站转到区别的域名分散危害罢了,看得出来很老练 这几个是模拟蜘蛛抓取劫持内容的bc logo照片位置的ip
210.126.27.70
pic.root1111.com
58.96.179.132 104.202.66.226此团伙工作环境ip,都在马来西亚(时间在10月9-号到10月26号以内的)
2016-10-26 13:00:01 ( IP 14.192.210.34 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
2016-10-26 13:00:25 ( IP 175.141.34.101 ) 马来西亚Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×1080
2016-10-24 13:59:17 ( IP 175.136.41.251 ) 马来西亚Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864
2016-10-25 14:28:11 ( IP 175.143.101.241 ) 马来西亚 Windows NT 10.0, Chrome 47.0.2526, 1920×1080
2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
14.192.211.116 马来西亚
14.192.211.223 马来西亚 175.138.234.137马来西亚工作PC指纹(分析此团伙有5个人):
Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色
Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864
Windows NT 10.0, Chrome 47.0.2526, 1920×1080
Windows XP, MSIE 6.0, 1126×800
Windows Server 2003, Chrome 49.0.2623, 1920×1080 Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864此团伙首领信息
QQ 474304849 641075512
真实姓名:袁立 重庆人
手机号:15998984721 手机MAC:18:9E:FC:11:2C:70 马来西亚手机号:060136958999
他的网站: www.badongedu.com
www.7cq.tv
(他创立的地区论坛)
api.fwqadmin.com(这个是他自己正在运用的大马自己留的后门收信位置)附件会有大马样本有兴趣的能够瞧瞧 Email:root@7cq.tv pianziso@163.com在国内的历史IP:
222.178.225.146(重庆市 电信)
222.178.201.12(重庆市 电信)
27.11.4.19(重庆市 联通)
27.10.36.56(重庆市 联通)
113.204.194.202(重庆市 联通)
119.84.66.14(重庆市 电信) 61.161.125.77(重庆市巴南区 时代e行线网迷俱乐部李家沱店A/B馆)国内的历史PC信息:
mac:90-2b-34-93-ad-73
操作系统:Microsoft Windows XP
显卡:NVIDIA GeForce GT 610 CPU:AMD Athlon(tm) II X4 640 Processor 3325HZ团伙成员信息就没去调查了,找到他就能够了。 WebShell卖家(一切安好)信息VPN代理 :
110.10.176.127 韩国
2016-10-24 22:26:37 ( IP 211.110.17.189 ) 韩国 (自己比特币购买的主机搭建)拜访时间10月9号真实:
2016-10-26 16:23:27 ( IP 121.18.238.18 ) 河北省保定市 上海网宿科技股份有限机构联通CDN节点 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 27.186.126.196 河北省保定市 电信 真实ip可能性更大浏览器指纹信息 ,一共3个区别的,但应该都是同一个人,可能电脑比较多,由于他有2个QQ
Windows NT 6.3, Chrome 45.0.2454, 1366×768 真实指纹
Windows NT 10.0, Chrome 47.0.2526, 1920×1080
Windows NT 6.3, Chrome 45.0.2454, 1366×768, 224 色, 未装 Alexa 工具 Windows NT 10.0, Chrome 53.0.2785, 1600×900, 224 色,QQ2436449670 3496357182
Telegram:@haorenge888
此人此刻开的奥迪A8,真是土豪啊,看来赚了不少钱还能逍遥法外,是河北口音即河北人
如要查到webshell源自仅有查他的幕后途径
他与老袁的交易信息:
 fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
星际团伙信息运用过的域名:
wokeda.cn www.98589.comwww.356388.com
chuan2828.com
cnzzz.pw
web-159.com
diyi1111.com
diyi2222.com
diyi3333.com
diyi4444.com
xinyu55.com
hongyihai.com
80268.com
5130898.com
maimai789.com
zhenyi58.com xwgy999.comhtt p://www.woyaotupianhehe.com/img/20151106/lq.rand(2,20).".jpg
2-20都是她们的logo,百度收录后就会展示出来,非常多80268.com这般的照片 统计代码
能够经过她们网站的统计代码分析登录的记录马来西亚的ip便是真实ip
搜索各大搜索引擎爬取转到她们的站,和快照特征,竟然有超过1000个被她们劫持过的网站,其中包含了不少全国最大的资讯网站如ifeng.com china.com.cn,倘若警方需要我能够供给列表
星际劫持团伙在马来西亚,成员大概6个人上下,团伙渗透的手段包含但不限于鱼叉,社工,爆破,xday,漏洞均会爬虫批量去入侵,每次入侵后爱好留海量的后门,防止权限掉了。 成员分工:
二名核心技术渗透人员(其中一名重点负责攻击,入侵大型资讯类型站点。一名重点负责代码审计,以及内部一系列php的研发,包含劫持程序,外兼入侵有些中型权重站点)
一名普通技术渗透(对扫描出漏洞的垃圾站点进行入侵)
二名负责挂劫持代码,倘若站掉了就会去恢复 一名负责bc网站上的市场兼财务,收账出帐以及收站核心成员在2015年12月份从马来西亚回中国至2016年2月上下返回马来西亚
以上是我经过圈内人员采取有些手段认识到的信息,由于这个团伙安全认识比较高,没得到太多真实信息,然则有一位给她们做过外包的黑客能够顺藤摸瓜
星际运用过的QQ :3151094164 最早的时候
著名的美女黑客:YingCracker
QQ:253778984 1132440325 984754551
手机: 13665012347 or 13665012374
姓名: 江春建 支付宝:1132440325@qq.com
位置: 上度路-牡丹园-505
所在省份: 福建
所在城市: 福州 所在地区: 台江找到这位美女黑客去认识下此团伙的状况应该会有发展 她们的后门样本:
部分我直接复制到文件夹里面了
收信位置嫌疑人信息
这次事件的特征和九宫格类似,因此呢我对2013年的事件进行了梳理并且对这个人进行了深入调查,能够确认两个人,必定是其中一个人干的。
倘若不是大马的问题那样亦能够从这两个人中来认识到这次后门事件的内情,独一的不确定性便是箱子的大马看不出任何问题。由于和她们之前后门数据实在太像了,几乎概括了所有的cms,记录的后台有些亦是几年前被入侵过的九宫格箱子里面的,迄今还在记录着新的内容
嫌疑人一:原来的吐司成员spider,亦便是spider大马的创始人,当时他亦留过后门,追溯起来都是2011年的事情,经过调查,那时候他所公开出去的shell大马就存在后门,况且亦被他自己海量利用做游戏劫持收录挂马,传闻在2012年就赚到了几百万身价,后来就始终低调出了公众的视线,在圈子销声匿迹了。不外此刻调查有新的发掘,他始终在活跃着,在今年其中登录过历史邮箱,续费过后门的收信域名,由于他没办法换域名,换了就收不了shell。
Id: iamspider iamsunchao
真实姓名:孙超
年龄:29岁(不确定)
就读过:自贡荣县富西初级中学
户籍:成都 西昌人
QQ:80937430(真实QQ) 862262949(小号)
历史IP(可能已然过时了)
222.215.38.109(四川省内江市 电信)
61.157.123.56(四川省凉山州西昌市 电信)
222.215.39.131(四川省内江市 (隆昌县)电信)
222.209.198.201(四川省成都市新都区 四川音乐学院周边蓝天云网吧) 嫌疑人二:
圈内的大神:toby57,曾经和他还打过交道,说是在给国家办事了,有点不太像是这件事的主谋,然则这个dedebox.com域名所有人便是他,况且他的能力足够干这般的事情 邮箱:toby57@163.com
亦是他最常用的im 历史ip
171.212.206.46(四川省成都市 电信)
220.166.52.45(四川省绵阳市 电信)
222.209.139.66(四川省成都市 电信)
220.166.52.45(四川省绵阳市 电信)
125.66.99.211(四川省南充市 电信)
61.157.97.82(四川省绵阳市 西南科技大学)
112.192.70.251(四川省南充市 联通)
125.65.97.134(四川省绵阳市 电信)
61.157.97.85 (四川省绵阳市 西南科技大学) 182.139.60.17(四川省成都市 电信)手机号:15208341433
姓名:杨月明
身份证号:511621198905062575(四川省岳池县)
所在城市:乐山
就读过:四川省绵阳市西南科技大学
由于dedebox.com的收信程序特征与嫌疑人一的类似,因此并不可判断到底是其中某一个人干的,因此呢两个都是需要深挖的人。 ×五.结论
日前其实亦没什么结论,从何泄漏的全国的所有大马以及各大cms后台和webshell后门还是个谜,由于能力太菜了。。。然则我相信这个谜警方能够解开,你们赋有足够的权利和使命去完成打击。否则对网民的害处太大了,哪些webshell被拿去做博彩做诈骗害处就很大了,几乎一个菠菜行业一个诈骗行业的黑帽seo源头都来于此,倘若不即时阻止害处还会无限扩大。
另一要去看被入侵的站点请到360搜索,娱乐场看最新一天收录 https://www.so.com/s?q=%E5%A8%B1 ... newhome&adv_t=d
温馨提示:运用过任何大马的帽子重视检测下自己的shell,瞧瞧里面的文件时间是不是统一为近期的创建时间
ps:由于浏览器没装flash ,没法上传附件以及照片,还请各位看官下载附件文档来查阅完整的照片和附件里面的webshell列表内容。 传送门:https://1drv.ms/u/s!AhMf1bUbIk7UanjRbtWlwOyebhU
部分受害域名列表(这个基数是去重复1W多条,未去重复大概20万条,其中的信息量与附件类似,一个站会记录所有的管理员登录账户秘码,包含webshell的存在) 传送门:https://1drv.ms/t/s!AhMf1bUbIk7Ua72FwZXZuVMX3fw大众在拿到受害列表能够搜索下手里的webshell域名,倘若存在那样就重视即时把大马处理掉,以避免被违法分子给你导致害处。
| 
发表于 2024-10-3 10:03:14