#1
|
|||
|
|||
論壇入侵LOG分析結果
以下是我分析的LOG,因為小弟只是個小高中生,才疏學淺,還請各位先進指證
首先是Apache的LOG紀錄,得利於Acsite的初步分析讓我能鎖定幾個IP作調查 以下就是該CRACKER的紀錄 HTML 代碼:
66.119.34.57 - - [12/May/2005:09:21:12 -0500] "GET /admincp/forum.php?do=modify HTTP/1.0" 200 40720 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)" 66.119.34.60 - - [12/May/2005:09:21:41 -0500] "GET /admincp/forum.php?do=edit&forumid=33&s= HTTP/1.0" 200 28500 "http://www.domain.club.tw/admincp/forum.php?do=modify" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)" 就是這個,修改了子論壇的設定定值放入iframe 66.119.34.60 - - [12/May/2005:09:23:08 -0500] "GET /admincp/adminlog.php?do=choose HTTP/1.0" 200 1106 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)" 更白吃的是他竟然還會查詢管理紀錄,但沒辦法哈啦的帳號沒權限刪除紀錄 所以....呵呵 66.119.34.57 - - [12/May/2005:09:23:59 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 8994 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)" 好習慣,他還會登出,u=5就是哈啦的帳號 66.119.34.60 - - [13/May/2005:07:52:19 -0500] "GET /showthread.php?t=5839 HTTP/1.0" 200 54113 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)" 嘿嘿,他在看我們討論他喔:P 66.119.34.57 - - [13/May/2005:08:02:52 -0500] "GET /admincp/options.php?do=options&dogroup=address HTTP/1.0" 200 14947 "http://www.domain.club.tw/admincp/options.php?null=0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)" 66.119.34.57 - - [13/May/2005:08:03:18 -0500] "POST /admincp/options.php HTTP/1.0" 200 2147 "http://www.domain.club.tw/admincp/options.php?do=options&dogroup=address" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)" 恩,這就是第二次他登入控制台,他修改了論壇的名稱,值入iframe 66.119.34.57 - - [13/May/2005:08:03:43 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 9087 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)" 又是用哈啦的帳號登出了Orz 引用:
引用:
恩,綜合以上的LOG紀錄與哈啦站大的描述,我的分析是: 該CRACKER是經Webmaster.clu.tw 的phpBB系統先破解哈啦站長的密碼 因為根據哈啦站長的描述,他的密碼只有四位數字,且還是相同的數字一 一||| 因phpBB沒有安全登入系統,我想這應該不難破解,稍微用程式TRY一下就出來了 至於這點,有待調閱webmaster.club.tw的apache紀錄查證 但因為webmaster.club.tw的LOG紀錄不完整....可能要另外找時間再做分析 因哈啦站大的密碼都是相同的,因此雖然vBB有安全登入系統,但LOG看來 該CRACKER根本沒有嘗試破解就直接都入了Orz 進入控制台後,他是直接修改設定值植入iframe 這些動作vBB都紀錄下來了(詳見apache log和vBB後台log) 恩,在分析他的IP,那應該是個proxy吧?應該是在美國吧? 不過Apache LOG裡面寫道"zh-CN" 所以應該是中國那邊的cracker 初步的結論是 應該不是主機也不是論壇的漏洞,應該是密碼導致的安全性問題 恩,好晚了 其他正去要再繼續蒐集 明天想到再補吧 我累了Orz 晚安各位 |
#2
|
|||
|
|||
代碼:
因為根據哈啦站長的描述,他的密碼只有四位數字,且還是相同的數字一 一|||
__________________
123 |