2008-01-10

續:從GOOGLE挖出一堆被破台的台灣網站



今天閑著沒事繼續用關鍵字找那個asp webshell,結果有了個意外的發現




居然有一個站點直接show asp原始碼出來..


先看一下他的架構..是apache的server..

居然把asp丟到apache上,難怪原始碼整個show出來.

再來就研究這隻asp的原始碼了.

雖然有用VBScript.Encode加密,不過這可難不倒google大神

先找出登入相關的部份的原碼

請google大神找出VBScript.Encode解碼器.


把那段加密代碼貼進去



解出來就發現裡面有帳號密碼資訊..

(帳號密碼我這把它蓋掉了,以免有無聊人士亂try.不過有點概念的人照這個思路去找自己也找的出來)

接下來就用找出來的帳號密碼來找個被他破台站點登入試試看

....這樣就給他進去了.....

一開始看到的就是檔案管理介面.不過權限被限制住了.

這帳號進去只能看幹不了什麼

我也懶得再花時間去玩它了..



再來就是瞧瞧這些被破台的機器是誰的..

把他們host name放進whois去查查



第一位苦主 knrglass.com IP是61.66.28.117(SPARQ的IP)

反查IP出來的DNS反解是w17.12.com.tw

w17.12.com.tw是戰X策的虛擬主機在用的

另一位苦主 chungshih.com

IP反解出來也是戰X策公司的虛擬主機.





看來這間戰X策的虛擬主機淪陷了不只一台..


這幾支ASPSHELL程式GOOGLE都幫他們找出來了.

戰X策還沒警覺..對照網友roamer寫的這篇
資訊鐵胃...再多木馬都塞的下? - roamer - Yahoo!奇摩部落格

只能說這是最大的諷刺....

4 則留言:

匿名 提到...

寫得不錯,讓我又再度注意一下自己的服務。不過,您用橫線把圖片中的網址列擋住了,但是...

書籤列上的網址還在啊...XD

Wisely Song 提到...

哈..就當成是撒必死囉..
其實擋住的意義並不大啦,GOOGLE那邊是公開的資訊,誰都能查出來的

Wisely Song 提到...

剛去查了下WHOIS.那台SHOW出ASP原始碼的機器也是那間公司的.=_=""
APACHE的SERVER也被丟WEBSHELL,看來他們的洞很大.

站長 提到...

太慘了
要不要funp貼一貼警告世人呀