对“QQ中奖诈骗”的一次不完全追踪

2014-05-09 +7 212043人围观 ,发现 17 个不明物体 WEB安全

    今天在找着一些资料,访问某个网站时弹出这样的信息:


    这些信息估计大家都很常见,是一种中奖诈骗手段。但是在一个正常的网站上出现了这样的信息说明这个网站“中奖”了,我初步的估计是这个网站被人攻下植入了恶意代码。一直都想追踪下这种诈骗,这次让我见到又有点时间我们就开搞吧。

    首先分析下这个站,根据IP归属是在上海的某个IDC机房,同时通过扫描得到这台服务器上的所有网站列表,最后找到一个后台有弱密码的站点下手搞定了(又是弱密码,几乎每一次的渗透都是由弱密码开始的)。是通过一个上传点上传了个木马,由于服务器上有安全狗,上传很多次都被杀,最后在一个网站找到一个过狗木马才进入服务器了。

    最后通过排除法分析这个网站,得出有人在这两个javascript文件中植入了恶意代码:jquery.lightbox.js,jquery-1.2.6.pack.js。植入的代码是这样的:

    这样一看一点都看不出是干嘛的,因为这个,我在排除的时候花了大量的时间去分析,最后才找到真正的文件。我们把它解码后是这样的:

    我们通过解码后的地址找到这个cp.js文件内容:

    我去,以为到终点了,结果又一个新的开始,用不用嵌套这么多啊,可见黑客是多么有耐心啊。此时我发现,当我第二次访问这个网站时已经不会再弹出中奖了,我估计是黑客在程序里进行了判断,当我第二次访问时不弹出。而这样的判断只有kds.asp这个文件可以做过,因为我做这个判断首先要有数据记录,而js代码是无法做到的。到了这里又要逼我下手了。

看这个网站:

是一个xx集团的网站,估计也是被黑客攻下了,既然这样了我也不管了,我可是为了他好啊。经常一番苦寻,终于找到入门,是通过一个常用的网站编辑器搞定的。

    进去后一看,果然被黑掉了:

    我们来找找kds.asp这个文件在哪,原来在这里:

    看这段asp代码,大概是这样的,它在此服务器建了一个表,并在这个表中插入每次用户访问的IP和时间,如果同一天访问过了就不再弹出中奖信息。你妹的,用不用考虑这么多啊,反正都弹了,就多弹几次嘛,最坑爹的就是你为啥还要再嵌JS代码啊,这不是逼我嘛:

    而这个js代码又回到这台服务器了:

    后来我又认真分析了这个服务器,又发现这一堆与kds.asp一样的文件:

    好吧,现在我们不找文件了,我们下载一个服务器的日志来看看吧:

    经常初步分析找到这个可疑的IP,它是来自于荷兰,估计是用了代理:

后来又跟踪到另一台服务器与这台服务器一样存有恶意文件。过程就不表。

最后找到了真正的服务器,但因为时间问题还未拿下,所以还未知道有多少用户中招。但是我们从这台服务器看一看它的访问数据:

    从5月5到5月6号中午就有近7万IP访问(5月5号有35541)。这只是其中的一点,还有很多数据被删除了的。但这只是代表访问过这个恶意代码的用户不代表中招的用户。

    最后我们用一张图来看看这整个结构是怎么样的:

    正常情况下用户先访问一级服务器,这里是一个服务器群,这些服务器都是公网上被攻下从而植入恶意代码,黑客会尽量找访问量高的网站,因为这样机率才大。一级服务器中的恶意代码指向了二级服务器,它只保存一些用户的IP和访问时间等信息,同样,这群服务器也是被攻下利用的。最后,用户到达三级服务器,这台服务器才是用户真正提交信息的机器。整个过程这么复杂,涉及的了大量的公网服务器,是为了让你难以追踪。其实除了被用于诈骗外,还会被用于进行网站刷访问量,DDOS攻击等。

    以上为个人见解,欢迎喷水。

这些评论亮了

发表评论

已有 17 条评论

取消
Loading...
css.php