~倉木麻衣~ 寫:嗯, 有些部份確實是我自己的疏忽, 感謝賜教
不過還是提出另一個可能, 假設對方是採用telnet的方式呢?
這筆記錄是telnet localhost 80 並下get
http://tw.yahoo.com 後的log內容
如果假設成立, 那還真不知道這樣子做有什麼意義
倉木樣
請千萬別這麼說,大家只是討論、研究、切磋... 順便聊聊天,如果文字用詞有不當的地方,可能是我最近被 qq.com 弄得很煩,請見諒~
我也不知道這樣子做有什麼意義,所以猜測的事寫在後面的【紅字】上...
其實我也同時把記錄寫在這裡,歡迎參觀:
http://bbs.bnw.com.tw/Conference/viewtopic.php?t=189
http://bbs.bnw.com.tw/Conference/viewtopic.php?t=193
由於企圖入侵的攻擊行動一直未曾停過,所以來報告最新的戰況!時間是 3/5/06,我從 Server Admin 調出“Web”伺服器上“Log”的 Access_log 記錄,然後搜尋 qq.com,就會找到這些資料:
- 選取並複製記錄中的 http :// .... 整串文字,然後把整個 http 貼在瀏覽器的網址列上並按 Enter,就會看到權限禁止的錯誤訊息!這絕對是對方 Web server 傳回的訊息,換句話說,play.qq.com 的 8787 port 是存在的!
- 如果直接在網址列上輸入這個網址:
http://play.qq.com:8787/
- 結果會被轉向到這裡:
http://play.qq.com:8989/
- 然後就會看到這個錯誤訊息畫面:
除了 qq.com 其實我還發現了 login.icq.com 的連線指令:
從這裡可以很清楚的看到有兩個 IP 位址,分別是 72.232.92.140 以及 66.111.51.120,或許各位對 Mac OS X 系統並不熟悉,沒關係,我可以換成 Windows Server 2003 來追查這個問題。
- 打開“命令提示字元”然後輸入 ”ping IP 位址” 這樣的指令,例如 ping 66.111.51.120,你可以從 Reply 回應看到這兩個 IP 確實是有電腦在上面運作中...
- 接著再打開“網路上的芳鄰”然後在“網址”以網路路徑的語法輸入 ”\\IP 位址”,嘗試第一個 IP 位址 “\\72.232.92.140” 會得到這樣的錯誤訊息:
其實這是很正常的,只要對方有安裝“IP 分享器”或“防火牆”,哪怕是最 low-end 的“IP 分享器”,都能隔絕“網路上的芳鄰”,不會把你的電腦變成全球共用的網路芳鄰...
- 但是另一個 IP 位址上的電腦就不是這樣囉~在網路上的芳鄰的網址輸入 “\\66.111.51.120”,例如:
- 就會看到這樣的登入畫面,而且到現在還有效用!
這表示那台電腦根本就是一部 Windows 主機,很可能是一部 WinXP 主機,由於那台電腦沒有架設 Web Server,所以用 IE 開啟
http://66.111.51.120,只會看到無法開啟的錯誤訊息而已。
可以看到登入畫面,這表示那台電腦根本就直接接在 ADSL 上,沒有安裝任何的“IP 分享器”或“防火牆”,甚至也沒有開啟 Windows XP 內建的防火牆,或是有開啟 WinXP 內建的防火牆,但卻開放了“網路上的芳鄰”所需的 137、138、139、445 這幾個 port!
通常一般的 WinXP 內建的 Administrator 帳號預設都是開啟的,如果我能弄到 Administrator 的密碼,就能連線到那台電腦了。很不幸的,就算我沒有輸入密碼、隨便輸入幾個密碼,都無法成功登入連線...
其實就算能登入連線,用這種連線方式也只能看到那台電腦在“網路上的芳鄰”共享出來的檔案夾而已,可不是如你想像的那樣,就能入侵對方的電腦,然後為所欲為...
因為這個登入動作 (在網路上的芳鄰的網址輸入 \\66.111.51.120) 一直持續有效,我認為這應該只是愛玩 Game 的傢伙而不是高明的駭客!更有可能是一個... 連自己的電腦是使用哪個 IP 都搞不清楚的網路小白~~
換句話說 66.111.51.120 這台電腦不是中毒了,就是被高明的駭客當成是“殭尸電腦”來操控,可惜的是操控的目的位置錯誤,跑到我這裡來... 另外我追查公司的 Web Server 記錄,也發現了相同的問題!因此,應該是有人向 qq.com 發動大規模的入侵攻擊!
不過就算能用 telnet 等工具進來,也未必能讓他們出得去!我在防火牆的“Content Filter”內容過濾器加上了 qq.com 網域,讓他們進得來出不去!所以想要在我的網路上開啟 play.qq.com 就會看到這樣的畫面:
不過,可惜的是“Content Filter”只能阻擋 80 port,不管 qq.com 的其他 port,也就是說並非“通殺 qq.com”的意思,因為我現在用的這台 Vigor 2900 的 IP 分享器防火牆也是屬於普通級、最爛的單向防火牆,只能阻擋 WAN to LAN 的部份,其他 5 個方向則一律不管,因此要阻擋 LAN to WAN 對外使用 8787、8789 等其他 port,就只好等明天新的 ZyWALL 5 到手之後再說了...
另外我有請朋友嘗試做相同的登入動作,不過他一直失敗,我猜想這應該是“東森網路”封鎖了網路上的芳鄰那幾個 port,所以我可以看到登入畫面,他只會看到前面那個錯誤訊息畫面。
雖然在終端機或命令提示字元,用 “telnet IP 位址 80” 指令是可以登入到另一部 Web Server,例如:telnet 61.111.51.120 80,但是執行 GET
http://www.msn.com/ 之類的指令,也只會傳回該網站的首頁資料,頂多傳回
http://www.msn.com 的首頁資料...
看起來或許毫無意義,但是對
http://www.msn.com 等網站的 Web Server 來說,在 log 上就無法記錄真正讀取資料的主機,也就是說在
http://www.msn.com 的主機上會找不到真正下 GET 指令的 61.111.51.120 主機,頂多只能看到透過另一部電腦連上 msn.com 的主機記錄,我想這才是他們的用意吧?
看不懂嗎?換個方式來說吧:
駭客 IP:61.111.51.120
受害者 IP:220.130.250.10
被害者網站:
www.qq.com
如果駭客在自己的 61.111.51.120 這台電腦上使用某個工具程式,或是用 telnet 連線工具來登入到另一個中繼的 Web Site,例如:telnet 220.130.250.10 80 (最後的 80 是指 http 使用的 port)。
然後在登入到 220.130.250.10 的 Web 伺服器之後,下一道 GET
http://www.qq.com 的指令,那麼在 qq.com 的 Web 伺服器上,應該會看到是 220.130.250.10 這台電腦竟然跑來存取另一個 msn.com 或 qq.com 的網頁!
就像這樣,但是我打上一些馬賽克,以保護 IP 位址:
駭客躲藏在 abc.com 網站去竊取或破解 123.com 網站的資料,讓 abc.com 誤以為是 123.com 入侵,實際卻是 61.111.51.120 發動攻擊,我想這才是他們的目的吧?
PS. 請問竹貓是安裝哪個自動縮圖的 MOD?我之前有找過,討論看起來有點亂... 能否直接指點一下?
PS. 用 net send 寫訊息去警告 61.111.51.120 的那個傢伙,不知道會怎樣?驚嚇到之後關機?發動更大的攻擊??
