Loading
0

中国最大的webshell后门箱子调查,所有公开大马全军覆没

星际团队是什么鬼?难不成又是做博彩的?通过与老袁进一步沟通后发现, 这些shell都是另一个做 博彩 的 ,他说是 博彩 圈子 最大的团伙 ,说实话,我挺兴奋的,发觉这件事越来越有趣了,我倒想看看这是些什么人。

不过现在我的目标还在“老袁”身上,因为我得找到卖他shell的人,经过一番较量之后,我得到到了真相,我也叫他提供了交易证据。此处略去不表,我会放到后面取证部分。

虽说有了shell卖家的联系方式,可是迟迟没添加上。这时候我又采取了另一种思路,钓鱼取证,老套路,还是在大马地址上js json,上面贴了几段字《add me email:xxx@xxx.com I will give you all webshell》让老袁发给让他,以便他主动联系我。

后来他果真访问了几个webshell的地址,我也抓取到了他的真实PC指纹以及代理的指纹以及QQ昵称。之后他主动找到我,问我是不是星际团队的,并说收到我发的邮件了。这时候我就很好奇了,莫非星际团队也找到他了?然后 他就来恐吓我,说要抓你们(星际团队),已经调查了星际团队一年了。

这时候我心一想,水真深,查来查去的到底是谁在查谁呢。不过他肯定是瞒不过我的,毕竟我有他卖shell的证据,不过意想不到的是他说:“我背后都是省厅的人,你以为这些shell都是怎么来的?都是在国家机器提取的。”我勒个去,国家会干这种事吗?国家提取网站记录我是信,isp保留日志也是1年,至于批量提取全国网站访问特征拿出来卖这我就不信了,要么就是黑客入侵到了运营商去提取出来的。

经过了一些沟通后,他居然一直说我是星际团队,就把我拉黑了。后来我就主动加他说:“你是河北的吧,我已经有你犯罪证据了。”他就怕了,主动加我认怂,还发了打包好的webshell给我。这时候我又惊呆了,这简直是逆天的节奏,居然有 上万个webshell和国内所有cms的后台登录密码 , 其中包括dedecms discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter php168等几乎是全国所有cms都存在,而且每种的数量去重复都在 上万条 ,我会上传一部分在附件。他说他背后的人的有几十万的discuz后台登录账户密码,我测试了他发我的一些后台,均可以登录,其中信息包括登录的fromhash uid 用户名、密码 、安全问题 、安全答案,而且都是前一天的。

到底是什么东西能记录如此多东西而且还没有一点异常。我看到其中也有我使用过大马的很多站,里面还有上万条webshell,其中有大量我的站,还有大量各种类型的大马和不同密码,看样子并非我一个人受害,我进行特征匹配出来,大概有上百人的大马不同特征。而且他发我的只是很小一部分,叫我给他钱才给我更多。这样一想他手里的资源都有几十万条了吧。他说他后面的人是技术团队,还有各种0day,是给国家干的, 手里有全国的webshell ,如果真是他说的这样,那资源为什么出现在他这里了还拿出来卖?很明显是撒谎怕我查他。我不相信,决定继续调查。

经过几天的分析,这波数据和以前wooyun曝光的出来的九宫格( 大家可以回溯一下2013年的 http://www.dedebox.com/core/centerxxxxx.php )是一样的,我对当时的数据也进行了打包分析,发现这波shell里面还存在部分的重复数据。而当前这个大马和当时九宫格的登录参数特征基本都是在Spider PHP Shell(SPS-)这款代码的基础上修改的,也就是说除了后门本身,这伙人还通过其他渠道来提取的大量webshell,之后通过webshell去运行了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这也还是猜想,因为后台数据里面有些站的确是九宫格重复的,如果是九宫格后门的话我就有新方向可查了,以上是我进行的大致分析和调查过程。下面我就不描述过程,就直接提供数据记录以及取证结果,交给警方去完成了。

取证

以下这几个是团伙一(老袁)跳转到的域名:

116305.net
559160.net
618309.net
786077.net
551809.com
www.919808.net
www.226830.com

均出自同一团伙的,只是域名不同, 每个站跳转到不同的域名分散风险罢了, 其中劫持代码里面的ip都是一样107.182.228.74,看得出来很老练。

这几个是模拟蜘蛛抓取劫持内容的bc logo图片地址的ip:

210.126.27.70
pic.root1111.com
58.96.179.132
104.202.66.226

此团伙工作环境ip,都在马来西亚(时间在10月9-号到10月26号以内的)

2016-10-26 13:00:01 ( IP 14.192.210.34 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
2016-10-26 13:00:25 ( IP 175.141.34.101 ) 马来西亚Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×1080
2016-10-24 13:59:17 ( IP 175.136.41.251 ) 马来西亚Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864
2016-10-25 14:28:11 ( IP 175.143.101.241 ) 马来西亚 Windows NT 10.0, Chrome 47.0.2526, 1920×1080
2016-10-26 13:20:09  ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864
14.192.211.116  马来西亚
14.192.211.223 马来西亚
175.138.234.137马来西亚

工作PC指纹(分析此团伙有5个人):

Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色
Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864
Windows NT 10.0, Chrome 47.0.2526, 1920×1080
Windows XP, MSIE 6.0, 1126×800
Windows Server 2003, Chrome 49.0.2623, 1920×1080
Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

此团伙首领信息

QQ 474304849 641075512
真实姓名:袁立 重庆人
手机号:15998984721  手机MAC:18:9E:FC:11:2C:70  马来西亚手机号:060136958999
分页阅读: 1 2 3
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。