ckmarkhsu
2005-05-14, 08:41 AM
以下是我分析的LOG,因為小弟只是個小高中生,才疏學淺,還請各位先進指證
首先是Apache的LOG紀錄,得利於Acsite的初步分析讓我能鎖定幾個IP作調查
以下就是該CRACKER的紀錄
66.119.34.57 - - [12/May/2005:09:21:12 -0500] "GET /admincp/forum.php?do=modify HTTP/1.0" 200 40720 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
66.119.34.60 - - [12/May/2005:09:21:41 -0500] "GET /admincp/forum.php?do=edit&forumid=33&s= HTTP/1.0" 200 28500 "http://www.domain.club.tw/admincp/forum.php?do=modify" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
就是這個,修改了子論壇的設定定值放入iframe
66.119.34.60 - - [12/May/2005:09:23:08 -0500] "GET /admincp/adminlog.php?do=choose HTTP/1.0" 200 1106 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
更白吃的是他竟然還會查詢管理紀錄,但沒辦法哈啦的帳號沒權限刪除紀錄 所以....呵呵
66.119.34.57 - - [12/May/2005:09:23:59 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 8994 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
好習慣,他還會登出,u=5就是哈啦的帳號
66.119.34.60 - - [13/May/2005:07:52:19 -0500] "GET /showthread.php?t=5839 HTTP/1.0" 200 54113 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
嘿嘿,他在看我們討論他喔:P
66.119.34.57 - - [13/May/2005:08:02:52 -0500] "GET /admincp/options.php?do=options&dogroup=address HTTP/1.0" 200 14947 "http://www.domain.club.tw/admincp/options.php?null=0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
66.119.34.57 - - [13/May/2005:08:03:18 -0500] "POST /admincp/options.php HTTP/1.0" 200 2147 "http://www.domain.club.tw/admincp/options.php?do=options&dogroup=address" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
恩,這就是第二次他登入控制台,他修改了論壇的名稱,值入iframe
66.119.34.57 - - [13/May/2005:08:03:43 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 9087 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
又是用哈啦的帳號登出了Orz
以下是我trace該IP的紀錄
tracert 66.119.34.57
Tracing route to proxyche01.ia2.marketscore.com [66.119.34.57]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms my.router [192.168.1.1]
2 42 ms 41 ms 41 ms sw169-90-1.adsl.seed.net.tw [221.169.90.1]
3 42 ms 42 ms 42 ms R37-188.seed.net.tw [139.175.37.188]
4 43 ms 40 ms 43 ms R121-130.seed.net.tw [192.72.121.130]
5 44 ms 44 ms 43 ms R58-189.seed.net.tw [139.175.58.189]
6 42 ms 45 ms 45 ms R56-138.seed.net.tw [139.175.56.138]
7 196 ms 195 ms 197 ms R58-18.seed.net.tw [139.175.58.18]
8 195 ms 197 ms 196 ms ge-1-1-0.402.ar2.PAO2.gblx.net [208.48.33.121]
9 197 ms 197 ms 196 ms bpr1-so-2-0-0.PaloAltoPaix.savvis.net [206.24.241.1]
10 198 ms 199 ms 199 ms dcr1-so-3-3-0.SanFranciscosfo.savvis.net [206.24.211.73]
11 330 ms 271 ms 271 ms 204.70.192.62
12 271 ms 270 ms 271 ms dcr1-so-0-1-0-500.Washington.savvis.net [204.70.192.173]
13 270 ms 269 ms 269 ms bhr1-pos-1-0.Sterlingdc2.savvis.net [206.24.238.166]
14 271 ms 270 ms 268 ms csr1-ve241.Sterling2dc3.savvis.net [216.109.66.42]
15 269 ms 270 ms 271 ms proxyche01.ia2.marketscore.com [66.119.34.57]
Trace complete.
以下這是vBB的後台管理紀錄
919 哈啦 2005-05-13, 21:02:52 options.php options 66.119.34.57
918 哈啦 2005-05-13, 21:02:43 options.php 66.119.34.60
917 哈啦 2005-05-13, 21:02:23 index.php 66.119.34.60
911 哈啦 2005-05-12, 22:22:06 forum.php modify 66.119.34.57
910 哈啦 2005-05-12, 22:22:04 forum.php update forum id = 33 66.119.34.58
909 哈啦 2005-05-12, 22:21:41 forum.php edit forum id = 33 66.119.34.60
908 哈啦 2005-05-12, 22:21:11 forum.php modify 66.119.34.57
恩,綜合以上的LOG紀錄與哈啦站大的描述,我的分析是:
該CRACKER是經Webmaster.clu.tw 的phpBB系統先破解哈啦站長的密碼
因為根據哈啦站長的描述,他的密碼只有四位數字,且還是相同的數字一 一|||
因phpBB沒有安全登入系統,我想這應該不難破解,稍微用程式TRY一下就出來了
至於這點,有待調閱webmaster.club.tw的apache紀錄查證
但因為webmaster.club.tw的LOG紀錄不完整....可能要另外找時間再做分析
因哈啦站大的密碼都是相同的,因此雖然vBB有安全登入系統,但LOG看來
該CRACKER根本沒有嘗試破解就直接都入了Orz
進入控制台後,他是直接修改設定值植入iframe
這些動作vBB都紀錄下來了(詳見apache log和vBB後台log)
恩,在分析他的IP,那應該是個proxy吧?應該是在美國吧?
不過Apache LOG裡面寫道"zh-CN"
所以應該是中國那邊的cracker
初步的結論是
應該不是主機也不是論壇的漏洞,應該是密碼導致的安全性問題
恩,好晚了
其他正去要再繼續蒐集
明天想到再補吧
我累了Orz
晚安各位
首先是Apache的LOG紀錄,得利於Acsite的初步分析讓我能鎖定幾個IP作調查
以下就是該CRACKER的紀錄
66.119.34.57 - - [12/May/2005:09:21:12 -0500] "GET /admincp/forum.php?do=modify HTTP/1.0" 200 40720 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
66.119.34.60 - - [12/May/2005:09:21:41 -0500] "GET /admincp/forum.php?do=edit&forumid=33&s= HTTP/1.0" 200 28500 "http://www.domain.club.tw/admincp/forum.php?do=modify" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
就是這個,修改了子論壇的設定定值放入iframe
66.119.34.60 - - [12/May/2005:09:23:08 -0500] "GET /admincp/adminlog.php?do=choose HTTP/1.0" 200 1106 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
更白吃的是他竟然還會查詢管理紀錄,但沒辦法哈啦的帳號沒權限刪除紀錄 所以....呵呵
66.119.34.57 - - [12/May/2005:09:23:59 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 8994 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
好習慣,他還會登出,u=5就是哈啦的帳號
66.119.34.60 - - [13/May/2005:07:52:19 -0500] "GET /showthread.php?t=5839 HTTP/1.0" 200 54113 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
嘿嘿,他在看我們討論他喔:P
66.119.34.57 - - [13/May/2005:08:02:52 -0500] "GET /admincp/options.php?do=options&dogroup=address HTTP/1.0" 200 14947 "http://www.domain.club.tw/admincp/options.php?null=0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
66.119.34.57 - - [13/May/2005:08:03:18 -0500] "POST /admincp/options.php HTTP/1.0" 200 2147 "http://www.domain.club.tw/admincp/options.php?do=options&dogroup=address" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
恩,這就是第二次他登入控制台,他修改了論壇的名稱,值入iframe
66.119.34.57 - - [13/May/2005:08:03:43 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 9087 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
又是用哈啦的帳號登出了Orz
以下是我trace該IP的紀錄
tracert 66.119.34.57
Tracing route to proxyche01.ia2.marketscore.com [66.119.34.57]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms my.router [192.168.1.1]
2 42 ms 41 ms 41 ms sw169-90-1.adsl.seed.net.tw [221.169.90.1]
3 42 ms 42 ms 42 ms R37-188.seed.net.tw [139.175.37.188]
4 43 ms 40 ms 43 ms R121-130.seed.net.tw [192.72.121.130]
5 44 ms 44 ms 43 ms R58-189.seed.net.tw [139.175.58.189]
6 42 ms 45 ms 45 ms R56-138.seed.net.tw [139.175.56.138]
7 196 ms 195 ms 197 ms R58-18.seed.net.tw [139.175.58.18]
8 195 ms 197 ms 196 ms ge-1-1-0.402.ar2.PAO2.gblx.net [208.48.33.121]
9 197 ms 197 ms 196 ms bpr1-so-2-0-0.PaloAltoPaix.savvis.net [206.24.241.1]
10 198 ms 199 ms 199 ms dcr1-so-3-3-0.SanFranciscosfo.savvis.net [206.24.211.73]
11 330 ms 271 ms 271 ms 204.70.192.62
12 271 ms 270 ms 271 ms dcr1-so-0-1-0-500.Washington.savvis.net [204.70.192.173]
13 270 ms 269 ms 269 ms bhr1-pos-1-0.Sterlingdc2.savvis.net [206.24.238.166]
14 271 ms 270 ms 268 ms csr1-ve241.Sterling2dc3.savvis.net [216.109.66.42]
15 269 ms 270 ms 271 ms proxyche01.ia2.marketscore.com [66.119.34.57]
Trace complete.
以下這是vBB的後台管理紀錄
919 哈啦 2005-05-13, 21:02:52 options.php options 66.119.34.57
918 哈啦 2005-05-13, 21:02:43 options.php 66.119.34.60
917 哈啦 2005-05-13, 21:02:23 index.php 66.119.34.60
911 哈啦 2005-05-12, 22:22:06 forum.php modify 66.119.34.57
910 哈啦 2005-05-12, 22:22:04 forum.php update forum id = 33 66.119.34.58
909 哈啦 2005-05-12, 22:21:41 forum.php edit forum id = 33 66.119.34.60
908 哈啦 2005-05-12, 22:21:11 forum.php modify 66.119.34.57
恩,綜合以上的LOG紀錄與哈啦站大的描述,我的分析是:
該CRACKER是經Webmaster.clu.tw 的phpBB系統先破解哈啦站長的密碼
因為根據哈啦站長的描述,他的密碼只有四位數字,且還是相同的數字一 一|||
因phpBB沒有安全登入系統,我想這應該不難破解,稍微用程式TRY一下就出來了
至於這點,有待調閱webmaster.club.tw的apache紀錄查證
但因為webmaster.club.tw的LOG紀錄不完整....可能要另外找時間再做分析
因哈啦站大的密碼都是相同的,因此雖然vBB有安全登入系統,但LOG看來
該CRACKER根本沒有嘗試破解就直接都入了Orz
進入控制台後,他是直接修改設定值植入iframe
這些動作vBB都紀錄下來了(詳見apache log和vBB後台log)
恩,在分析他的IP,那應該是個proxy吧?應該是在美國吧?
不過Apache LOG裡面寫道"zh-CN"
所以應該是中國那邊的cracker
初步的結論是
應該不是主機也不是論壇的漏洞,應該是密碼導致的安全性問題
恩,好晚了
其他正去要再繼續蒐集
明天想到再補吧
我累了Orz
晚安各位