文/安全天使·angel 于 2005年1月11日凌晨
相关资料:_blank>
http://www.77169.com/Article/Class5/Class9/200501/14162.html
关于这个msning.com网站被黑一事,从我1月10日下午4点多上网,一直11月凌晨2点,终于把事情搞清楚了,我万万没有想到居然是内鬼! 还是我认识多年的“好哥们” : )
因为刚回到家,就被人告之被污蔑!实在想不通,马上发了相关的声明,但是还是不甘于就这样被侵犯隐私权和遭受人身攻击。
于是在联系了网警(多谢提供法律和犯罪取证思想)的情况下,自己默默和好友展开了调查。首先PING出MSNING.COM的IP,我们查看的绑定了218.78.213.152,发现这些站点有个共同的特点,就是论坛都是使用IPB.CN开发的论坛。再到IPB.CN官方去看,这个服务器果然是IPB.CN销售的空间的服务器的IP,然后再想了一下,知道我的手机、女朋友在成都、12月份到成都,同时满足三个条件的人,安全界里不超过4个。其中就有他。
安全界的人应该都知道炎黄兵团的站长safer,也属于Smartipb的开发团队的一员,很早的时候就想着渗透IPB.CN的服务器,盗取这个服务器上的代码,有一段时间曾经一度请求我帮他研究IPB2的漏洞,还有帮他看IPB.CN的漏洞。我也曾经告诉过他的漏洞信息。
所以我不能不把目标锁定在他,通过各个好友的帮助和取证,终于证实了一个事实:
服务器(218.78.213.152)是被炎黄兵团的站长safer所黑,并格式化了硬盘,并企图用硬盘垃圾生成机进行更大的破坏/">
WWW.MSNING.COM所在的服务器(218.78.213.152)是被炎黄兵团的站长safer所黑,并格式化了硬盘,并企图用硬盘垃圾生成机进行更大的破坏。
(圈子里面也流传safer不厚道的事实,但我从没有想到,他竟然会对自己的好兄弟下手,他的笔记本是怎么来的?还是我们几个好友参加成都的比赛为他赢回来的。他这样作是不是有什么目的?或者找关系保我出来…… :))
很早以前,safer就在我们的内部论坛(邪恶幻想)里,请求某高人,诱惑其帮他入侵IPB.CN的服务器。而且这两个月来,从未间断,尝试了各种入侵方法,因为从未成功,答应完事以后给某高人寄钱的条件,请求某高人出手相助,众所周知,某高人是非常热心的人,所以也就在safer的诱骗下,成功进入了服务器。下面就是他们的聊天记录。是我找到当事人。拿到的,还有部分截图,由于个人关系。我要对这个人的名字做处理。记录如下:
用户:XXXXXX(某牛人)
==================================================
消息组:陌生人(162)
==================================================
消息类型:聊天记录
==================================================
--------------------------------------------------
消息对象:7225308(Safer /tx)
--------------------------------------------------
2004-10-09 22:02:41 7225308
帮忙啊
2004-10-09 22:05:23 某牛人
什么
2004-10-09 22:03:07 Safer-Z
http://www.x-kismet.net/web/bbs/ //这里的服务器和 MSNING.COM是同一台服务器
dvbbs
http://www.x-kismet.net/web/Admin_login.asp
2004-10-09 22:03:42 Safer-Z
动力 3.5.1 帮忙弄个 shell 进去 //也许是个动机吧,大家往下看
服务器好象禁用了 FSO
2004-10-09 22:06:24 某牛人
能上传么?
2004-10-09 22:08:14 Safer-Z
...不知道。好象禁用了 FSO。。我想偷这服务器里的一代码 //偷代码作什么呢?
2004-10-09 22:09:54 Safer-Z
主要偷这的东西 //著名Hacker Safer锁定目标
safer
111111
登陆
http://www.ipb.cn/index.php?act= ... 0union%20select%201,1,1,1,1,1,1,1,1,1%20FORM%20ibf_flashva
2004-10-09 22:16:46 某牛人
我看看先
2004-10-10 00:48:50 某牛人
在么
2004-10-10 01:13:38 某牛人
http://www.ipb.cn/html/images/gif.php
密码:某牛人
2004-10-10 01:19:45 某牛人
218.78.213.152 用3389登陆
test
testtest
2004-10-11 17:56:10 Safer-Z
怎么了?
2004-10-11 17:58:51 某牛人
http://www.4ngel.net/forums/read.php?fid=2&tid=11
2004-10-11 18:10:16 Safer-Z
[:D]....你速度快。。
2004-10-11 18:10:23 Safer-Z
猜出 管理员的MD5 了?
2004-10-11 18:13:22 某牛人
没有
2004-10-11 18:13:34 某牛人
我运气好 一猜就进去了
2004-10-11 18:11:14 Safer-Z
[:|]
2004-10-11 18:11:30 Safer-Z
把这个先 编辑一下。。
我偷东西。。。不要发出来啊 //恩 挺有保密性的
2004-10-11 18:12:41 Safer-Z
[:)]....恩。谢谢了哦
等偶有钱几。。寄些给 你。。 //开始收买高手!牛
2004-10-11 18:12:56 Safer-Z
我们在自己弄 ipb 论坛
不过才起步。。。
2004-10-11 18:16:12 某牛人
http://www.4ngel.net/forums/read.php?fid=2&tid=11
好了
2004-10-11 18:19:21 Safer-Z
..我先忙下载东西哈。。。
一哈 怕 管理员来了
一哈找你
2004-10-11 18:23:12 某牛人
恩
2004-10-12 15:19:53 Safer-Z
他们和我说 Smartipb 有漏洞/// 你发现了嘛
2004-10-12 15:22:01 某牛人
没有
2004-10-12 16:34:35 Safer-Z
[;P] 你就是 拿到 ipb.cn的 管理员 帐号 然后上传 phpshell 然后 中 后门?
你怎么拿到 管理员 密码的呢?
union ?
2004-10-12 16:40:27 Safer-Z // 著名黑客 Safer 又想作什么呢?
我今天要黑的站.
http://www.ludocvin.com/
呵呵.已进去了..等管理员 下班.
2004-10-12 16:41:05 Safer-Z
他 那 套 虚拟主机的程序.你觉得如何啊?>
2004-10-12 16:41:21 某牛人
那套?
2004-10-12 16:41:37 Safer-Z
http://www.ludocvin.com
2004-10-12 16:41:48 Safer-Z
可以卖点小钱..我们一会就偷下来 //黑客怎么成了小偷???
2004-10-12 16:42:40 Safer-Z
我看看 其他目标..
2004-10-12 17:09:24 Safer-Z
http://www.parker.com/ead/cm1.asp?cmid=352
2004-10-12 17:09:43 Safer-Z // 发现漏洞
注入点
http://www.parker.com/ead/cm1.asp?cmid=352%20and%200<>(select%20user_name())—
2004-10-12 17:10:29 某牛人
http://www.parker.com/ead/cm1.asp?cmid=352%20and%200<>(select%20system_user)--
2004-10-12 18:05:14 某牛人
权限太低了
2004-10-12 18:05:49 Safer-Z
先弄
http://ibl.ludocvin.net/
http://www.ludocvin.net
2004-10-12 18:06:22 Safer-Z
zero
111111
等 马上成 管理员了
2004-10-12 18:07:17 Safer-Z
好了 ..个论坛管理中心 · 个人控制
2004-10-12 18:08:31 某牛人
嗯
2004-10-12 18:09:08 Safer-Z
http://ibl.ludocvin.net/style_emoticons/default/angel.php //这里大家要注意了。他留的后门居然是用我的名字命名!
2004-10-12 18:09:50 某牛人
嗯
2004-10-12 18:11:20 Safer-Z
[;P] 开 3389 没?
你 + 个 ID
直接 登陆 把 那个 虚拟主机 系统 打包.然后全部删除他点东西...多中点 后门 //这个大家注意了!这个就是safer的手法!
2004-10-12 18:46:40 Safer-Z
你看下
2004-10-12 18:46:50 Safer-Z
http://ibl.ludocvin.net/style_em ... icons/default/../..
2004-10-12 18:47:11 Safer-Z
[;P]
我发现
agel的 木马有问题
好象可以饶过 密码验证
2004-10-12 18:50:39 某牛人
权钱不够把
2004-10-12 18:50:42 某牛人
权限
2004-10-12 18:48:41 Safer-Z
[:L] 怎么办。。。。我想删除他全部东西呢。。。。 // 这种手法绝对不是我的手法!
2004-10-12 18:54:27 某牛人
论坛的config文件再那里
2004-10-12 18:52:25 Safer-Z
http://ibl.ludocvin.net/style_em ... ile=conf_global.php
2004-10-12 18:54:46 Safer-Z
conf_global.php
就这个
2004-10-12 18:55:23 Safer-Z
要不就
$INFO['sql_user'] = 'root';
$INFO['sql_pass'] = 'ludocvin';
2004-10-12 18:58:07 某牛人
嗯了
2004-10-12 18:56:12 Safer-Z
[?] 你想怎么弄?
导出东西到 自启 里? 呵呵。你来弄
2004-10-12 19:01:13 某牛人
我弄好了
2004-10-12 18:59:01 Safer-Z
[:|] 那么快?!
3389 开了?
2004-10-12 19:01:40 某牛人
没有啊
2004-10-12 19:01:45 某牛人
需要他重起
2004-10-12 19:55:31 Safer-Z
[:)] 恩。。+ 后门没?
2004-10-12 19:58:17 某牛人
等他重起了 才可以
2004-10-12 19:59:18 Safer-Z
恩。我想把他 首页修改了 // 专门搞破坏!
2004-12-27 08:14:23 Safer /tx
某牛人
2004-12-27 08:14:41 Safer /tx
出来啊
2004-12-27 08:14:45 某牛人
?
2004-12-27 08:15:49 Safer /tx
弄
www.ipb.cn 偶要弄死他
权限不够。删除文件 等都不行。。也+不了帐号 //我感觉挺像中国传说中的“红客”的干活。
某牛人帮我看看
2004-12-27 08:15:59 Safer /tx
http://www.petbuffet.com/bbs/uploads/cmd.aspx
http://www.petbuffet.com/bbs/uploads/2005.asp
2004-12-27 08:16:10 Safer /tx
http://www.ipb.cn/html/images/gif.php
某牛人
2004-12-27 08:16:22 Safer /tx
const userPassword="hididi.net" '登录密码
const adminPassword="haiyangtop.net" '二次密码
2004-12-27 08:19:50 某牛人
哦
2004-12-27 08:19:59 某牛人
serv-u改了管理员密码了
2004-12-27 08:20:23 Safer /tx
....SERV-U 配置文件没权限写入
2004-12-27 08:21:30 某牛人
你下载了serv-u看看密码啊
2004-12-27 08:22:12 Safer /tx
? 加密了的
2004-12-27 08:22:25 某牛人
[;d]
2004-12-27 08:22:48 Safer /tx
C:\Program Files\Serv-U\ServUAdmin.ini
C:\Program Files\Serv-U\ServUDaemon.ini
2004-12-27 08:22:51 Safer /tx
[GLOBAL]
Version=5.2.0.1
ProcessID=196
[DOMAINS]
Domain1=218.78.213.152||21|ipb.cn|1|0|1
[Domain1]
CacheTTL=60
ODBCSource=myservu|myservu|532650595503435A01551B020D5F5B2B24
ODBCTables=ibf_iplusu_members|ibf_iplusu_groups|ibf_iplusu_userdiraccessrules|ibf_iplusu_groupdiraccessrules|ibf_iplusu_useripaccessrules|ibf_iplusu_groupipaccessrules
ODBCColumns=name|password|SKeyValues|HomeDir|LogMesFile|Access|Disable|NeedSecure|RelPaths|HideHidden|AlwaysLogin|ChangePass|QuotaEnable|MaxIp|MaxSpeedUp|MaxSpeedDown|MaxUsers|IdleTimeOut|SessionTimeOut|RatioUp|RatioDown|RatioCredit|QuotaCurrent|QuotaMax|Expiration|Privilege|PassType|RatioType|Groups|Note|id
EnablePassive=0
Logging=1
LogFileRotation=Weekly
2004-12-27 08:32:18 某牛人
说吧 你想要啥
2004-12-27 08:34:19 Safer /tx
3389 登陆。。完全删除他的硬盘。。。// safer的手法就是这么狠毒。
2004-12-27 08:34:18 某牛人
我把ipb目录的权限 全部开放了
2004-12-27 08:35:23 某牛人
你3389登陆吧
2004-12-27 08:40:11 Safer /tx
我删除他 文件 去了 // 12月27日删除的!记住!!
一哈 在打扰 某牛人
2004-12-27 08:41:51 某牛人
嗯
2004-12-27 08:42:35 Safer /tx
垃圾生成机 ?
2004-12-27 08:42:42 Safer /tx
有没有 硬盘垃圾生成机 ? //事情完全明白了!
2004-12-27 08:44:16 某牛人
没啊
我真不明白 那个msning的站长怎么知道我那么多的事情,我周围,我mm,我的行动。看来的却有个人提供了很详细的信息,而且还whois我的
站点域名 查到我的家庭信息 :) 更没想到是我朋友出卖了我。难怪 :)
是不是想对我作什么套子呢 :) 无论想打什么主意,一切用法律说话。
下面是safer和某牛人的聊天记录截图:
下面是我某牛人今天的聊天记录。
用户:291427(angel)
==================================================
消息组:我的好友(309)
==================================================
消息类型:聊天记录
==================================================
--------------------------------------------------
消息对象:XXXXXX(某牛人)
--------------------------------------------------
2005-01-10 23:55:27 某牛人
那站是干啥的
2005-01-11 00:31:28 angel
我真的很郁闷啊
2005-01-11 00:31:34 angel
完全不知道那个站。
2005-01-11 00:31:06 某牛人
[:L]
2005-01-11 00:32:37 angel
倒霉啊
2005-01-11 00:44:01 angel
我12月去成都根本没有多少人知道。 还有我的手机。
2005-01-11 00:44:21 angel
我女朋友的学校。同时知道这些资料的人。不超过5个
2005-01-11 00:44:00 某牛人
警察说的吧
2005-01-11 00:45:30 angel
我靠。我刚才才联系了上海的警察。网监。我操他妈的 !
2005-01-11 00:44:48 某牛人
别以为我知道的东西少,我连你小学班主任都知道,警察叔叔不让说。顺便提醒你一下,据我所知这次受损的大网站都报警了,我知道的东西他们都知道。
2005-01-11 00:45:03 某牛人
明显是警察说的
2005-01-11 00:46:16 angel
呵呵。我等者他们呢
2005-01-11 00:45:29 某牛人
网监联系你了? 还是你联系他们
2005-01-11 00:53:06 某牛人
你顺便告他侵犯肖像权吧
2005-01-11 00:54:35 angel
我肯定要告
2005-01-11 00:53:57 某牛人
嗯
2005-01-11 00:54:04 某牛人
你没啥可以担心的
2005-01-11 00:55:08 angel
我要让他公开道歉!
2005-01-11 00:54:47 某牛人
yes
2005-01-11 00:57:03 某牛人
ipb。cn的服务器
?
2005-01-11 00:57:05 某牛人
操
2005-01-11 00:57:18 某牛人
我想起来了
2005-01-11 00:58:16 angel
对!
2005-01-11 00:58:31 angel
我知道有一个人在一直研究!!!
2005-01-11 00:58:42 angel
而且还问我要研究成果!!
2005-01-11 00:58:58 angel
那就是safer!!!
2005-01-11 00:58:14 某牛人
我搜索聊天记录
2005-01-11 00:58:16 某牛人
你稍等
2005-01-11 00:59:09 angel
好的
2005-01-11 00:58:22 某牛人
妈的
2005-01-11 00:58:31 某牛人
内部论坛上我发过shell的
2005-01-11 00:58:53 某牛人
而且是黑客之门
2005-01-11 00:59:52 angel
[:|]
2005-01-11 00:59:22 某牛人
(2004-10-10 01:19:45) 某牛人
218.78.213.152 用3389登陆
test
testtest
(2004-10-10 01:13:38) 某牛人
http://www.ipb.cn/html/images/gif.php
密码:某牛人
2005-01-11 00:59:27 某牛人
C4233A
2005-01-11 01:00:16 angel
那我马上要落实了。如果真的是内部人干的。操!
2005-01-11 01:01:15 angel
不是统一IP啊
2005-01-11 01:00:42 某牛人
Pinging
www.msning.com [218.78.213.152]
2005-01-11 01:00:46 某牛人
[:L]
2005-01-11 01:01:16 某牛人
[图片]
2005-01-11 01:02:56 某牛人
我日了
2005-01-11 01:03:00 某牛人
我越看越不对
2005-01-11 01:03:59 angel
是的。我唯一能想到的就是他。但是如果是利用IPB的。我只能想到是他了!!!
2005-01-11 01:04:03 angel
safer
2005-01-11 01:03:21 某牛人
你稍等
2005-01-11 01:03:34 某牛人
我找他另一个QQ说的话呢
2005-01-11 01:04:33 angel
OK
2005-01-11 01:04:40 某牛人
弄
www.ipb.cn 偶要弄死他
权限不够。删除文件 等都不行。。也+不了帐号
某牛人帮我看看
2005-01-11 01:05:02 某牛人
这个时候ipb.cn就在218.78.213.152这个服务器
2005-01-11 01:05:54 angel
这个IPB。CN一直是他的竞争对手。
2005-01-11 01:05:21 某牛人
http://www.ipb.cn/html/images/gif.php
某牛人
2005-01-11 01:06:18 angel
SHELL不在了
2005-01-11 01:05:33 某牛人
这个shell还是我帮他放的
好久了
2005-01-11 01:05:37 某牛人
是不在了
2005-01-11 01:06:37 angel
当时他也找我高。我只给了他方法。
2005-01-11 01:06:09 某牛人
他不是用你的方法搞得
2005-01-11 01:07:06 angel
他妈的。我和几个人觉得他嫌疑最大。
2005-01-11 01:06:21 某牛人
是我以前用旁注帮他的
2005-01-11 01:07:01 某牛人
论坛都有证据
2005-01-11 01:07:52 angel
这么说当时IPB。CN的IP是和MSNING一样的?
2005-01-11 01:07:15 某牛人
前几天他告诉我要去格了ipb的盘
2005-01-11 01:07:20 某牛人
是的 是一个服务器
2005-01-11 01:07:36 某牛人
我这里聊天记录摆着呢
2005-01-11 01:10:05 angel
怪不得他今天我刚知道的时候,他就打电话给我女朋友。叫我女朋友看。而且。知道我手机号码,女朋友在成都理工,12月份去成都。同时满足三个条件的人不超过10个。安全界的人就4个。
除了safer。我想不到其他的人!
2005-01-11 01:09:19 某牛人
[图片]
2005-01-11 01:10:19 angel
你把聊天记录截个图过来。
2005-01-11 01:09:39 某牛人
就是这篇帖子 不过我后来编辑了
2005-01-11 01:09:41 某牛人
http://www.4ngel.net/forums/read.php?fid=2&tid=11
2005-01-11 01:10:59 angel
把当时重要的聊天记录截图过来
2005-01-11 01:11:07 某牛人
2004-10-09 22:09:54 Safer-Z
主要偷这的东西
safer
111111
登陆
http://www.ipb.cn/index.php?act= ... 0union%20select%201,1,1,1,1,1,1,1,1,1%20FORM%20ibf_flashva
2005-01-11 01:12:15 angel
他以前叫我看这个漏洞。
2005-01-11 01:14:06 angel
截图吧
2005-01-11 01:13:42 某牛人
2004-12-27 08:15:49 Safer /tx
弄
www.ipb.cn 偶要弄死他
权限不够。删除文件 等都不行。。也+不了帐号
某牛人帮我看看
2004-12-27 08:15:59 Safer /tx
http://www.petbuffet.com/bbs/uploads/cmd.aspx
http://www.petbuffet.com/bbs/uploads/2005.asp
2004-12-27 08:16:10 Safer /tx
http://www.ipb.cn/html/images/gif.php
某牛人
2004-12-27 08:16:22 Safer /tx
const userPassword="hididi.net" '登录密码
const adminPassword="haiyangtop.net" '二次密码
2005-01-11 01:14:18 某牛人
2004-12-27 08:32:18 某牛人
说吧 你想要啥
2004-12-27 08:34:19 Safer /tx
3389 登陆。。完全删除他的硬盘。。。
2005-01-11 01:15:26 angel
IPB我记得了。当时暴错的时候。的确是WINDOWS的文件系统。
2005-01-11 01:16:00 某牛人
看到这里可以肯定是他了
2005-01-11 01:16:54 angel
完全符合嘛!!
2005-01-11 01:16:57 angel
我日!
2005-01-11 01:16:51 某牛人
聊天记录给你份
2005-01-11 01:17:49 某牛人
接收文件保存于 C:\Documents and Settings\angel\桌面\7225308.txt
2005-01-11 01:17:59 angel
截图也给我一份!
2005-01-11 01:17:37 某牛人
稍等
2005-01-11 01:18:14 某牛人
[图片]
2005-01-11 01:19:02 某牛人
[图片]
2005-01-11 01:19:40 某牛人
[图片]
2005-01-11 01:21:42 某牛人
接收文件保存于 C:\Documents and Settings\angel\桌面\1.jpg
2005-01-11 01:21:44 某牛人
接收文件保存于 C:\Documents and Settings\angel\桌面\3.jpg
2005-01-11 01:21:48 某牛人
接收文件保存于 C:\Documents and Settings\angel\桌面\2.jpg
2005-01-11 01:30:58 angel
妈的。这次真的被气惨了。我说我女朋友这么不相干的人居然也会知道。原来是SAFER告诉的。
我实在没有想到,一个和我原来还称兄道弟的人,居然这样来陷害我。
以后我和safer没有任何关系。
MSNING.COM的站长狼仔,缺乏法律意识,居然把个人隐私以及照片公布了出来。并在网上恶言中伤我。
如果该站站长在一个星期内不发公告公开向我道歉,我就行使我享有的权利。投诉其诽谤,恶意中伤他人,侵犯其他隐私以及肖像权!
如果没有safer的提供,狼仔绝对不可能得到我这么详细的资料。对safer和这个站长互相勾结的行为保留法律起诉权利。
在此感谢X的N次方个朋友特地来安慰我,支持我。谢谢大家!!
exploit:交友一定不能和这种人交!
