2008-01-10

續:從GOOGLE挖出一堆被破台的台灣網站

1/29 補充.
現在從GOOGLE上雖然用該關鍵字還是能找出一堆紀錄,
不過看起來這些WEB SHELL是都移除掉了..
老天保佑..
=====================
相關資料1:從GOOGLE挖出一堆被破台的台灣網站
相關資料2:資訊鐵胃...再多木馬都塞的下? - roamer - Yahoo!奇摩部落格

今天閑著沒事繼續用關鍵字找那個asp webshell,結果有了個意外的發現



居然有一個站點直接show asp原始碼出來..

先看一下他的架構..是apache的server..

居然把asp丟到apache上,難怪原始碼整個show出來.


再來就研究這隻asp的原始碼了.

雖然有用VBScript.Encode加密,不過這可難不倒google大神

先找出登入相關的部份的原碼

請google大神找出VBScript.Encode解碼器.
把那段加密代碼貼進去

解出來就發現裡面有帳號密碼資訊..



帳號密碼我這把它蓋掉了,以免有無聊人士亂try.
不過有點概念的人照這個思路去找自己也找的出來
接下來就用找出來的帳號密碼來找個被他破台站點登入試試看

....這樣就給他進去了.....

一開始看到的就是檔案管理介面.不過權限被限制住了.

這帳號進去只能看幹不了什麼..
我也不想花時間去玩它.. 到時候被惡質公司賴上就糟了

再來就是瞧瞧這些被破台的機器是誰的..
把他們host name放進whois去查查


第一位苦主 knrglass.com IP是61.66.28.117(SPARQ的IP)
來的DNS反解是w17.12.com.tw

w17.12.com.tw是戰XX的虛擬主機在用的

另一位苦主 chungshih.com

IP反解出來也是戰XX的虛擬主機.





看來這間戰XX的虛擬主機淪陷了不只一台..

這幾支ASPSHELL程式GOOGLE大神都幫他們找出來了.



裡面提到的最近戰XX放出的新聞..
只能說這是最大的諷刺....
單靠GOOGLE幫忙就能從別人留下來的後門進去逛,到底在混啥啊.....

4 則留言:

Derek 提到...

寫得不錯,讓我又再度注意一下自己的服務。不過,您用橫線把圖片中的網址列擋住了,但是...

書籤列上的網址還在啊...XD

小歪 提到...

哈..就當成是撒必死囉..
其實擋住的意義並不大啦,GOOGLE那邊是公開的資訊,誰都能查出來的

小歪 提到...

剛去查了下WHOIS.那台SHOW出ASP原始碼的機器也是那間公司的.=_=""
APACHE的SERVER也被丟WEBSHELL,看來他們的洞很大.

GarageWoman=車庫女人 提到...

太慘了
要不要funp貼一貼警告世人呀