1.
2005年,圈子里一直流传着一句经典玩笑话:小心我DIR溢出你!这句话源自于一个假借红客联盟之名的红客大联盟的老大"虾扑瘟能"先生,接受电视台采访时,对着电脑一个劲的在DOS下执行DIR命令,以达到屏幕一直不停滚动的效果.这段采访的视频传开来后,具说是安焦的朋友最先发明了这句,小心我DIR溢出你,于是,听着乐,说着乐,这句经典就这样传开来,后来甚至配上了漫画,一直传到圈子里慢慢忘了这件事.(2004年底的最后一天,红客联盟宣布解散,马上就有人继续打着红客联盟的牌子,冒出个红客大联盟来,也不记得是那个电视台还采访了,一不小心就创造出了这个伟大经典的笑话.注:DIR----用来显示文件的DOS命令)
2.
休息了一段时间,每天无聊的看看新闻,听听音乐,日子过的飞快.这天,突然接到个任务,也不能算是任务,算是帮朋友的忙吧.一位做网警的兄弟打来电话,要我过去一下,有个问题要我帮解决,因为算是一个体系,平时我们互相学习,互相帮忙,倒经常配合的很默契.
兄弟很简单的给我说了一下事情:报案人的电脑里的所有WORD资料全部无法打开了,桌面上留着一个文本文件,里面写着一句话,要想恢复资料,请在三天内转5000元到下面账号内:中国工商银行 胡XX 95588040.....电脑他们几个兄弟查了,没有发现犯罪嫌疑人留下的痕迹.不用说,肯定是报案人访问了挂马的网站,中了木马后,嫌疑人看到电脑里的资料比较重要,所以才留下5000块恢复资料这话.一起典型的利用电脑网络的敲诈,真不明白,现在的计算机高手,都是怎么想的.好好的正路不走,净做些违法的事.
我又让兄弟把电脑开开,我再检查了一遍,一样的结果:三天前的日志全没,后门远程控制的木马也应该被嫌疑人清除了,用恢复软件恢复了所有盘符,只发现一个批处理文件有价值,那家伙定义了一个三天后运行的批处理,自动搜索所有WORD文件,清除WORD里所有文字,然后往里写些乱码.如果只是删除了文件,还有可能恢复,像这种擦除再往里写乱码的方式,真是让文件无法恢复.看来,想恢复文件,只有找那嫌疑人了.
"查了银行账号没,"我问兄弟:"这文件是没法恢复还原了,我看那家伙肯定是下载了所有WORD文件后才干了所有文档,不然他也没法恢复,想要文件,还真得找那家伙,这事也没啥复杂的,查银行帐号,给他转账,等他取的时候直接抓不就得了"兄弟说:"银行那边已经查清楚了,应该是假身份证开的账号,没有详细的线索了,安排好了,无论在哪取钱,都可以马上查出来地址"我说,那不就行了,让他转账就行.说完自己感觉有点不对,能做到敲诈不留痕迹,思维应该是很清晰的,而且这么大胆的直接留下账号(尽管是假身份证,但也得取到钱啊),应该不会属于SB类型的,想到这,却想不出问题的具体不对在哪.
兄弟给那电脑上装了一个小小的监控软件,然后让那报案人把电脑抱回家,给他说,平时不要访问些乱七八糟的网站,每天把D盘由监控软件生成的一个TXT发过来,让他先转账(因为资料很重要,又没备份,必须得搞回来),然后等他们抓人.那个监控软件功能很简单,就是记录每个进程连出的IP,生成一个TXT,如果嫌疑人再进来这台电脑,就可以记录下来,原理上这种机率应该不会发生.因为嫌疑人清除了木马,就是不准备再连这台电脑,而且清了所有日志,也就不让有迹可寻,所以,就算真留了更高级的我们查不出的后门,他也不会再访问这台电脑,这也是这家伙心里的常识.但是我兄弟职责所在,不管有用没用,总得有个交待,做做样子,也是要的.
第二天,报案人转账了,给兄弟了电话,这边就密切关注着银行账号了,等着那家伙取款好抓个正着.第三天,报案人邮箱里收到一封邮件,内容写着,要的文件地址:HTTP://www.xxxx.com/admin/test.rar.邮件一看就知道是用群发软件发出的,发件人地址伪造的,DNS是从国外来的,还不知道中转了几次,想查出发信人真实的地址,难.按地址下下来一看,果然是全部的WORD文件,我猜的没错,那家伙果然是下载了所有文件后才下的手.
第四天,账号上的钱依然没动静,又不能冻结账号,只能一直等.......
账号上的钱不动,越平静,我心里就越没底,因为目前看来,没有下手的地方:银行那边,因为账号开户是一年前,不可能还有录像;报案人电脑里又没有有用的信息了;收到的邮件查到发信人地址,基本不可能;那家伙放资料下载的网站,我还仔细看了一下,真验证了"疯狂的石头"里的一句话:公共厕所嘛,想来就来,想走就走!这个站是漏洞一堆,不知道有多少小黑客在里留下痕迹.里面全是网页木马,而且同样,最近的日志都没了.
4.
放假的时候,通常我会去爬山,喜欢在山顶眺望整个城市的感觉;喜欢在山顶,清风拂面,让人的心开阔,让所有的烦恼释怀;更喜欢上山的途中,累了休息,体会那种向上冲刺,向上攀登的感觉;特别是在爬到一处静处,能感受自己的心跳的加速,感受心脏敲击胸腔的那种刺激,仿佛听到心跳的声音,让自己感觉无以言比的真实.那一刻,才能真正体会爬山的乐趣所在.
还没在山顶休息够,兄弟的电话就过来了.一连两天没动静,今天银行那边传来消息,钱动了,但并不是取走了,而是用网银转账了.
等我赶到,兄弟又给我详细的说了一遍,本来全面监视着账号,没想到账号里的钱通过网上银行,转了4000多到一个在T宝上开店的店主账号,店主账号,身份都是实名,有具体地址,那边已经初步调查了,反馈回来的信息是店主收到一个留言:您好,我看中了贵店的那款ABCD型手机,由于没有支付宝,直接给您转账了,转账金额4600,用户名为胡XX账号95588040......收货地址为:河南省洛阳市涧西区XX花园D-501 颜小玉收.我问兄弟,银行那边查到转账的IP是哪的,兄弟说,韩国的IP,这次还真碰到个老油条了.我说,既然网上查不出问题,也得不到信息了,直接去河南,查那个收货的颜小玉,不就水落石出了,八九不离十就是那家伙了.
兄弟去河南的第二天,传回来两个更迷茫的消息:账上又多了5000,颜小玉的家里的电脑和工作单位的电脑没有查到任何问题,据她本人交待,自己并没有在网上订手机,也不知道这回事,当然,也不认识那个假身份证上的胡XX.
原本一起网上敲诈案,搞的人越来越糊涂了,通常网上犯罪,一般由网警处理,但现在是网上信息一堆,却得不到有效的信息,而且账上又多了5000块钱,可能又是另一起敲诈,兄弟这边只能向上级反映具体情况,他留在河南继续调查颜小玉的生活圈子,看是否存在她的朋友或者熟悉的人犯案.然后请刑事那边帮查账上5000元的来历.
桌上一个小纸条,上面写着一个IP,就是那个韩国的IP,从兄弟那回来后,我一直在分析这台机子.真正的高手,会不屑于用别人的代理,从来都是自己抓肉鸡,自己再给肉鸡补好漏洞,只留一个供自己用的后门.如果真是这样,说不定这台韩国肉鸡里,能发现一点线索.
仔仔细细的扫了一遍这个IP,返回的结果是机子只开了1433和1988两个端口,连80都没开,不用说1433肯定是开了SQL服务,80端口都没开,肯定这台肉鸡应该是一台数据库服务器.不知道是不是扫的SA权限弱口令进的系统,就算是,现在扫出来的并不是弱口令,很可能就是那家伙改了密码.1988端口到不常用,难道?试着用远程桌面连接登陆,果然登陆上去,原来那家伙将3389改到了1988端口.没有密码,也只有干看着,干瞪眼的份.
没头绪的时候,我喜欢用笔在纸上画,想着那家伙入侵这台数据库服务器的可能的方法.(1)没开80,不可能是通过WEB漏洞;(2)1433溢出?我也试过了,没戏;(3)1433的管理权限(SA权限)弱口令,有可能,但就算当初他是通过弱口令进的,现在也没了,因为扫不出;(4)数据库服务器一般是为WEB服务器服务,邻近IP如果是网站,有可能就是调用的这台数据库,也就有可能突破,就算不是调用的这台服务器,如果在同一网段,也有可能能嗅探到数据库的密码.看来,只有这条路可行了.
5.
喜欢玩黑的都知道,要找好用的肉鸡,最理想的就是韩国鸡,可能是国情的原因还是什么,韩国一直对黑客和网络入侵判的比较严,所以韩国的黑客很少,直接导致的结果是国内的服务器,存在着很多很多幼稚的漏洞,安全意思相对较差,就连初上手的小黑,都可以拿着S扫描器扫一堆SQL空口令的韩国鸡出来.有攻才有防, 我觉得防总是建立在攻的后面,现在全国的小黑特别多,虽然造成网络上的许多的麻烦事,但有一点至少可以肯定,他们间接或直接的增强了国人的网络安全防范意思.
随手打开相邻的IP,果然出来一个商务网站,ASP写的站点,首先让人想到的就是注入,因为韩国网站,ASP+SQL做成的网站,十有八九有注入漏洞,这也成了国内小黑抓肉鸡的一种快速方式,一年前,用GOOGLE随便搜出来的韩国ASP站点,挑一个就有漏洞,当然,现在的安全比以前好多了.
整个站大致看了一遍,安全比我想像的好,至少注入漏洞补了,后台到是猜到了,但没密码.拿扫描器扫了一下,端口只开了80,得不到啥有用的信息,看来又不好下手.没办法,只能无聊的在网站上慢慢翻,韩文是看不懂的,只能凭感觉跟图片判断页面的意思了.网站的版面并不太多,跟大多的商务站一样,主要是些产品介绍,公司新闻等,再一个留言版,在留言版面折腾了半天,看能不能写SQL代码,结果无功而返,难道就没法下手了吗?
郁闷的时候,我总是喜欢拿起我的大杯子喝水,以前还学会抽烟,后来写程序的时候,更是每晚恨不得抽掉一包,再后来就是喉咙哑加咳嗽,自己知道不能再这样下去了,硬是忍了两个月,把烟戒下来了,但留下一个毛病,一思考的时候,就想拿吃的往嘴里送,演变到现在就是一直不停的喝水.
喝着喝着,想到网站产品图片那么多,应该有个上传图片的地方吧,在网站后台路径随手加了个UPFILES.ASP,竟然真出现了上传页面,而且并不要权限,这下应该有戏了.直接上传个ASP木马上去,结果不成功,弹出的页面应该是不支持ASP文件,可想而知,肯定是做了限制的,于是只能抓包,用UE改后缀加空格,NC提交成功.在IE栏里输入上传木马地址,打开,出现了可爱的登陆窗,真是柳暗花明,感觉自己运气一下好了起来,接连又喝了几大口水.
现在是有了一个SHELL,但权限不大,只能看看网站的文件,执行简单的DOS命令,输了一个查询端口命令,果然看到这台机子连着SQL服务器的1433端口,看来我的想法没错.心里一动,赶紧去翻网站上的数据库连接文件,呵呵,SQL服务器的连接账号密码全在,而且是管理SA权限,看到下面有一段通用防注入的代码,又看到这个文件的日期,不觉笑了,原来那家伙是通过注入进来的,然后给补了注入漏洞,这台网站服务器估计他没有拿到管理权限,所以连这个文件的日期改动了他都没还原.
赶紧用SQL连接器,输入IP,账号和密码,点连接,等的过程中,又兴奋的喝了两口水,当弹出窗口弹出无法连接时,还有半口水硬是呛了我半天.NND,难道还做了IP限制,只好传了一个带SQL命令的木马到网站服务器,连上去后果然没问题,加了个管理员账号密码,远程登陆上SQL服务器的1988,就这样进了这台SQL服务器.
6
打铁要趁热,进了SQL服务器后,先就直奔系统日志,SQL日志,心里还希望那家伙能粗心大意一下,结果还是不能如愿,所有的日志都被清空了.这时的感觉,就像拿着藏宝图,一步一步来到宝洞前,却发现没有门的钥匙,只能在门外徘徊,干瞪眼的份.到这里又没有进展了,只好作罢,在SQL服务器里加了一个登陆监控的小程序,隐藏进程的小东东,如果有人登陆,自动记下登陆IP,生成一个TXT文件,然后删了增加的账号,清除了所有我留下的日志(俗称擦屁股),走人.
多半情况,入侵一台电脑,运气占了很大的成份,其次才是技术和经验,如果那个家伙再不用这台肉鸡,那我所做的这些都是白费.一个晚上脑子里都在胡思乱想,睡不塌实,第二天一早,又传来不好的消息.
跟上次一样,T宝的店主收到同样的留言,同样买了一部手机,又用掉了4000多块,这次的收货人换了:云南省昆明市解放路XX花园1506 张丽,我连忙问转账留下的IP是我多少,得到的就是那个SQL服务器的IP,心一动,赶紧重新加账号登陆上去,查看监控程序生成的TXT,上面记录着一条信息,登陆IP和时间,查了一下,IP来自中国北京的一个机房的IP,扫了一下,但没有任何反映,扫不到任何端口和信息.时间就是凌晨,那家伙就在我们眼皮底下把钱转走了.
上面对这个案子也越来越重视,同时也是施加了更大的压力.下午,兄弟从河南赶了回来,领导召集所有办案人员,开了一个分析会.
黑板上写着详细的案件信息:报案人,两个收货人,银行账号,T宝店主,还有嫌疑人,以及相关的日期等.兄弟汇报了在河南调查的结果,那个颜小玉平时挺喜欢上网,长的比较漂亮的女孩子,在网上的网友肯定很多,她始终不知道到底是谁给她寄的手机,而且有网友在网上说过会寄礼物给她,她也不确定是不是那个网友,因为以前聊天只是开玩笑,而且也不记得有没有给过人家自己的地址.兄弟记下了颜小玉的QQ号,网名,以及那个网友的QQ号,就赶回来了,我也汇报了两次都是用的同一韩国肉鸡登陆的网上银行,而且还得到一个来自北京的IP登陆这个肉鸡,但这个IP扫不到任何信息,只能靠IP判断是来自一个电信的机房.其它的的人员也分别汇报了相关的信息.接下来七嘴八舌的讨论,大概有分析:(1)两个收货人都是女孩子,而且相隔这么远,会不会是她们有共同的网友或者熟悉的人做的事;(2)两次转账交易都是在同一店主里买的手机,会不会跟店主有关系而我们只查了表面;(3)嫌疑人为啥买手机送人;最后一个问题就是,那个家伙到底会是谁?讨论最后领导又分配了任务,一组负责查两个收货人和她们的共同熟悉的人员以及网友,一组查T宝店主,我跟兄弟负责查北京的这个IP.为了不打草惊蛇,账号暂时不冻结.
7.
各斯其职,我和兄弟又查了一遍北京的那个IP,仍然是没任何信息,感觉就像是,电脑压根儿没开,或者装了防火墙,屏蔽了所有端口.兄弟只好打电话向那边机房负责人询问,核对了身份后,对方反馈回来的消息是,这个IP并没有分配给机房的机子,也就是说,机房里没有服务器用这IP.我跟兄弟说,怎么可能,难道有人利用这个IP没有分配使用,用拨VPN的方法,利用这个IP上网?这样的话,机房里肯定有一台机子开了VPN服务.
由于到机房查路由分析具体是哪一台机子开VPN,数据是否是通过VPN服务器中转,得一些办案原件,兄弟于是连忙坐飞机赶到北京机房,我则继续利用手上线索,寻找信息.
扫描了一下整个子IP段的所有机子的VPN端口,在子网内发现了两台服务器开着VPN服务器,估计那家伙肯定是拨号到其中一台服务器,然后分配了那个没使用的IP,这样,信息就通过这台服务器中转,并且并不会在服务器上留下信息,只会在VPN服务里有拨号的IP地址.如果服务器里的日志被删除,那就只能查路由里的信息了,好在只是一个子网的路由,影响应该不是很大.
轮到我没事做了,倒是可以分析子网内的机子,或者拿下其中一台的权限,然后通过嗅探,看能不能得到想要的VPN的账号,密码等,但如果那家伙不登陆,那就啥用也没.而且工程量也太大.所以还不如放松一下,等着兄弟那边的好消息吧.
把那两个开VPN的机子IP发信息告诉给兄弟,要他重点查一查.过了一天,各方面都反馈回来了消息:(1)颜小玉和张丽两人都在一个交友网站里注册过(用GOOGLE搜她两人的网名时发现的);(2)她们有在交友网上认识的共同的网友,两人都在交友网的QQ群里.(群里的人员比较多);(3)交友网的安全并不理想,办案的同事把交友网的数据库下下来了,里面有所有会员的全部信息.(包括会员的住址,联系方式,QQ,手机,上传的照片地址等);(4)T宝店主的详细信息,21岁,在读大学生,因有家人做手机生意,所以在T宝上开了个店,挣点学费和生活费.(其它的有用信息无).我们这边就看兄弟查的结果了.
摊子是越铺越大,看上去线索是越来越多,但或许这些信息又会误导我们.但没有得出结论前,谁也不能肯定,这些信息到底有没有用,而且还必须相信它有用,并继续追查下去.
8.
下午,兄弟那边有了好消息了,正在往回赶的途中.领导又召集起来开了个会,原来账上中午又多了5000块,领导经过考虑,决定先冻结那家伙的账号,不能让损失更一步的扩大,同时,交待各组加快速度,把重点放在交友网的QQ群里的人,很有可能嫌疑人就在里面,再其次调查一下T宝店主的网友情况,或者在学校的朋友情况.网上追察和网下调查同步进行,两边都不能放松,有最新消息,及时碰头交流.
领导考虑也有他的道理,账上钱是一进一出一进一出的,再不冻结,损失肯定是扩大,但只要一冻结账号,嫌疑人肯定会进行他的下一步动作,至少首先会清楚痕迹,就是擦屁股,怕的是,到时就算找到嫌疑人,证据还不一定能取的到.
兄弟一边给领导汇报,一边把打印出来的部分路由日志给我看,一部分他都在上面划了标记.日志很清晰明了,最近两次,那家伙拨VPN连韩国的SQL服务器,两次IP不同,但是MAC地址(网卡地址,在网上具有唯一性)一样,那个IP的数据都是通过其中一台开VPN服务的机子转发出去,路由里每一个连接都记的清清楚楚,时间上也是吻合.查了一下那两个IP,都是一个大城市的电信ADSL拨号IP,因为MAC地址相同,应该可以断定这台电脑,就是始作俑者的电脑,一般的"小黑",不会用ADSL拨号的机子去做肉鸡的.
兄弟汇报完,领导马上批示,请求对城市电信相关部门配合,查此MAC地址的ADSL账号,查清楚拨号号码,确定嫌疑人以及犯案电脑.兄弟回来屁股都没坐热,马上就往那个城市赶去.我心里也是一阵激动,现在虽然没我啥事了,但现在进展顺利,很快就可以查到那家伙的电脑,不觉很是期待.
我的桌子上还有我在纸上乱画的些信息,边喝水,边把那个城市名和两个IP以及MAC地址加上去,又看了几眼先前记的,报案人,两个女孩子,T宝店主,想着嫌疑人跟他们中间,到底谁会有联系,或者就是其中的人.看来看去,还是没啥头绪,干脆去找领导.
人说:三个臭皮匠,顶上一个诸葛亮,我把那个城市名和两个IP以及MAC地址写到黑板上后,大伙都看出了一个相同的地方,就是这个城市名跟T宝店主上的大学城市相同,难道......原本还有一位同事在那边,刚好兄弟赶了过去,领导给他们分别交待了这边的信息,要他们汇合一起去查.
9.
有电信的配合,查ADSL电话就快了,地址,姓名很详细,兄弟跟同事还有当地的同行马上赶了过去.房东给他们介绍,房子他租给一位在校的大学生,一个小伙子,电话登记的是房东的名字.房子离大学不远,兄弟就跟房东一直在那等着,直到放学,一位小伙子走进那所出租屋.
当一队人进了屋子,说明来意后,那家伙表现的竟然是非常冷静,兄弟开电脑取证时,那家伙一言不发在边上看着.等电脑开机后,兄弟检查了一下,心里就说糟糕,账号一冻结,果然就打草惊蛇了,那家伙系统肯定是重做了,里面啥也没有,查了一个MAC地址,还好,网卡没有换,MAC地址就是那个.
兄弟马上走出来给领导汇报了现在的情况,说电脑里查不到任何黑客工具,但通过MAC地址可以断定就是这台机子所为.领导指示:(1)再仔细查电脑里的痕迹;(2)审查那小伙子,争取从他口中得到信息;(3)小伙子跟T宝店主在同一学校,继续查T宝店主,查他两人的关系.
于是兄弟分成几组,一组带电脑跟那家伙回当地局里,一组去查T宝店主,一组继续在屋子里查有用信息.到了局里,兄弟给那家伙电脑里装了一个找回格式化和删除文件的工具,慢慢扫所有硬盘,看能不能找到那家伙删除的信息,如果那家伙只是格式化了一遍电脑,应该是可以找回来一部分格式化前的信息,说不定可以找到有黑客工具,入侵记录等.(网上这个工具很早就有,用过的都知道,其实兄弟们平时,也用的就是这个工具而已)
另一个同事一直在询问那家伙,得到的回答是,不知道,不清楚,看着他冷静的模样,同事直想上去扁一通,让那家伙开口.兄弟把整个硬盘扫完,看着显示的结果,心又凉了,NND,那家伙不是低级格式化了硬盘,就是把硬盘格了三五次了,啥删除的信息都找不到."小黑"们平时用的工具,一般会放一份在网上存储空间里,或者备份到移动硬盘,另一组查屋子的,把屋子查了个遍,好像也没发现有移动硬盘.查T宝店主的那一组也传回消息,两个认识,那家伙一直在追求T宝店主,但对方一直是若即若离,保持着同学和朋友的关系而已.现在是动机有了,作案条件也有了,但那家伙就是不开口,案情到这一步,又停了下来.
10.
虽然看上去,事实已经很明了了,但没有证据,那家伙不开口,兄弟也没办法.那家伙文文弱弱,肯定是不经打,也不能打的,那都是多少年前的做法了,现在时代也不同了,凡事都要讲证据了.
一个晚上,那家伙还是同样不开口,到第二天早上,兄弟找到那家伙的辅导员了解情况,最后通过同学了解到,平时见过他有移动硬盘,而且那家伙每天中午都在宿舍休息.终于在宿舍他的抽屉里,找到他的移动硬盘,所有的希望都寄托在这里面了.只要有充分的证据,就不怕他不开口了.
果然,当那家伙看到移动硬盘时,脸色马上就变得苍白,兄弟接上移动硬盘,打开一看,里面黑客工具分的明细清清楚楚,什么远程控制,注入工具,捆绑工具,加壳脱壳,教程等,还有一个专门的文件夹,叫自己写的小工具,里面就有一个用VB写的往WORD里写数据的工具,在另一个专门的文件夹里,许多TXT文档有免费域名密码,许多邮箱密码,被黑网站地址等.接下来就好审多了,兄弟一直看着他,让他把作案的过程讲一下.一个人的自信,在另一个更自信的人面前,被这个人把他伪装的自信击破后,剩下的就只有自卑和恐慌了,沉默过后,那家伙终于开口交待了.
旁观人可能无法理解当事人的想法,可能是因为站的位置不同吧,他的理由竟然是如此简单:她在T宝上开了个店,由于暂时没有啥信用评价,没啥生意,他就想帮她,于是就有了这件事,为了不让人怀疑,他故意把手机寄给两个不认识的人,两个人的地址,就是从那个交友网站的数据库得来的,那是他以前的战利品而已.
兄弟只能在心底无奈的叹气,凭这家伙肯钻研的精神,将来说不定会有大好前途.
那些报案人的资料,全放在一个网上免费硬盘里,打开他的免费域名和远程控制软件,上线的肉鸡竟然还有好几百,如果不是及时破案,还不知道有多少受害人.
下面是笔录的一部分:
问:这么多肉鸡,怎么来的?
答:在一些网站上挂的网页木马,然后上线的
......
问:那你是怎么确定人家会付款?
答:基本上那几台电脑我都盯了几天的,都是公司的高层吧,我看他们的资料都挺重要的,想肯定会付款找回资料吧.
......
问:拨号的VPN是怎么来的?
答:是网上一个兄弟给的,好像是他公司客户的服务器,那个兄弟在一个空间租售代理公司.
问:韩国的服务器是怎么入侵的?
答:用的SQL注入漏洞进去的.
问:具体点.
答:就是用NB扫的注入漏洞,SA权限,直接就加了用户,然后改了远程登陆端口.
问:那注入漏洞是你补的?
答:嗯,因为漏洞太简单了,别人也容易进,所以我在WEB服务器上传了个马,把注入漏洞给补上了.
......
这个案例,到此算是告一段落了.留给我们的,是心里的无可奈何和伤感.同时,心里也在感慨,如果网卡没了,移动硬盘没了,我们还会不会如此轻松,如果第二次他换一台肉鸡......
|
