红盟遭遇攻击的反分析

管理02

##########################################
#  Title    ： 红盟攻击反分析（小记）
#  Time   ：2015年3月11日
#  Team  ：中国红客联盟-08sec
#  Author ： 中国红客联盟-08sec
#  首发   ： 中国红客联盟（ihonker）
#######################################

大概于6日左右，红盟遭受攻击。
具体情况已经发布公告，详见：http://www.ihonker.org/thread-4060-1-1.html
中国红客联盟（ihonker） 不能坐以待毙，
进行对攻击IP的反渗透。


在服务器监控到的肉鸡IP地址为如下图IP（部分）

我们成员开始对其测试。
发现大部分IP都是开着80的端口，打开后查看，都是路由系统。
使用谷歌搜索出来的默认帐号密码，我们进去了一台。

然后在次研究这个路由系统
发现不能对服务器造成安全。
继续探测。发现还有22的端口。
22的端口是ssh的端口。
猜测还是弱口令。
因为路由服务器在思维里面应该不会怎么设置。
当然，当中我们也猜测了是否有bash的问题


进入服务器

发现一个IP

不知道这个是什么。
118.172.241.136 80端口
暂时先放一边。先关攻击才是当务之急。
下一台继续。
都是同样的“作案”手法
附上一张未清理的

Wget的地址为 61.147.103.74

先清理一下，在继续操这个ip

这是清理后的
我们继续看这个61.147.103.74
这个CDN节点的服务器

居然会被作为HFS的服务器。
远程连接上去。发现有后门。
成功进入。

还有另外一台wget的是一台电信通的vps
还是先继续清理其他的攻击ip看看


都是同样的手法。
我们也用同样的手法清理之。


习科之前也遭受过同样的攻击，也分析出来了。目测是同一人作案。
西科文档下载查看： CC_Attack_by_mateng7410.pdf (1.46 MB, 下载次数: 100)

2015-3-11 13:12 上传

点击文件名下载附件

本文章下载查看： cc.doc (383.5 KB, 下载次数: 53)

2015-3-11 13:12 上传

点击文件名下载附件

同时我也鄙视一下另外某红盟成员的恶劣行为、

H.U.C-Star

不明觉厉！还能不能和平相处啦。尽使阴的。

III轻音

攻击了算我一个，把我们中国红盟的气势拿出来，让他们知道我们不是好惹的！

蟹老板

CDN节点的鸡，果然是养殖大户。

互联网的那点事

反击战打响了~

凡火火。

管理二一看头像就是jj - -

C4r1st

凡火火。 发表于 2015-3-11 20:05
管理二一看头像就是jj - -

一看头像就是静静？我想静静了。好像接下来的流量都被直接清洗了。

lyrric

那个人,我只能说他很无知，
但是他不能代表另一个红盟，
注意，

EsV

红盟最近一直风云四起的感觉，总有点不明觉厉

火星人

感觉红盟最近有些乱啊