網域名稱俱樂部


返回   網域名稱俱樂部 > 其他 > 問題意見與求助
論壇幫助 社區 日曆事件 今日新文章 搜尋

回覆
 
主題工具
  #1  
舊 2005-05-14, 08:41 AM
ckmarkhsu ckmarkhsu 目前離線
論壇管理員
 
註冊日期: 2004-01-30
文章: 533
預設 論壇入侵LOG分析結果

以下是我分析的LOG,因為小弟只是個小高中生,才疏學淺,還請各位先進指證

首先是Apache的LOG紀錄,得利於Acsite的初步分析讓我能鎖定幾個IP作調查

以下就是該CRACKER的紀錄

HTML 代碼:
66.119.34.57 - - [12/May/2005:09:21:12 -0500] "GET /admincp/forum.php?do=modify HTTP/1.0" 200 40720 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
66.119.34.60 - - [12/May/2005:09:21:41 -0500] "GET /admincp/forum.php?do=edit&forumid=33&s= HTTP/1.0" 200 28500 "http://www.domain.club.tw/admincp/forum.php?do=modify" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
就是這個,修改了子論壇的設定定值放入iframe
 
66.119.34.60 - - [12/May/2005:09:23:08 -0500] "GET /admincp/adminlog.php?do=choose HTTP/1.0" 200 1106 "http://www.domain.club.tw/admincp/index.php?do=nav" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
更白吃的是他竟然還會查詢管理紀錄,但沒辦法哈啦的帳號沒權限刪除紀錄 所以....呵呵
 
66.119.34.57 - - [12/May/2005:09:23:59 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 8994 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 (ax)"
好習慣,他還會登出,u=5就是哈啦的帳號
 
66.119.34.60 - - [13/May/2005:07:52:19 -0500] "GET /showthread.php?t=5839 HTTP/1.0" 200 54113 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
嘿嘿,他在看我們討論他喔:P
 
66.119.34.57 - - [13/May/2005:08:02:52 -0500] "GET /admincp/options.php?do=options&dogroup=address HTTP/1.0" 200 14947 "http://www.domain.club.tw/admincp/options.php?null=0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
66.119.34.57 - - [13/May/2005:08:03:18 -0500] "POST /admincp/options.php HTTP/1.0" 200 2147 "http://www.domain.club.tw/admincp/options.php?do=options&dogroup=address" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
恩,這就是第二次他登入控制台,他修改了論壇的名稱,值入iframe
 
66.119.34.57 - - [13/May/2005:08:03:43 -0500] "GET /login.php?do=logout&u=5 HTTP/1.0" 200 9087 "http://www.domain.club.tw/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.5) Gecko/20041124 Firefox/1.0 (ax)"
又是用哈啦的帳號登出了Orz
 
以下是我trace該IP的紀錄

引用:
tracert 66.119.34.57

Tracing route to proxyche01.ia2.marketscore.com [66.119.34.57]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms my.router [192.168.1.1]
2 42 ms 41 ms 41 ms sw169-90-1.adsl.seed.net.tw [221.169.90.1]
3 42 ms 42 ms 42 ms R37-188.seed.net.tw [139.175.37.188]
4 43 ms 40 ms 43 ms R121-130.seed.net.tw [192.72.121.130]
5 44 ms 44 ms 43 ms R58-189.seed.net.tw [139.175.58.189]
6 42 ms 45 ms 45 ms R56-138.seed.net.tw [139.175.56.138]
7 196 ms 195 ms 197 ms R58-18.seed.net.tw [139.175.58.18]
8 195 ms 197 ms 196 ms ge-1-1-0.402.ar2.PAO2.gblx.net [208.48.33.121]
9 197 ms 197 ms 196 ms bpr1-so-2-0-0.PaloAltoPaix.savvis.net [206.24.241.1]
10 198 ms 199 ms 199 ms dcr1-so-3-3-0.SanFranciscosfo.savvis.net [206.24.211.73]
11 330 ms 271 ms 271 ms 204.70.192.62
12 271 ms 270 ms 271 ms dcr1-so-0-1-0-500.Washington.savvis.net [204.70.192.173]
13 270 ms 269 ms 269 ms bhr1-pos-1-0.Sterlingdc2.savvis.net [206.24.238.166]
14 271 ms 270 ms 268 ms csr1-ve241.Sterling2dc3.savvis.net [216.109.66.42]
15 269 ms 270 ms 271 ms proxyche01.ia2.marketscore.com [66.119.34.57]

Trace complete.
以下這是vBB的後台管理紀錄

引用:
919 哈啦 2005-05-13, 21:02:52 options.php options 66.119.34.57
918 哈啦 2005-05-13, 21:02:43 options.php 66.119.34.60
917 哈啦 2005-05-13, 21:02:23 index.php 66.119.34.60
911 哈啦 2005-05-12, 22:22:06 forum.php modify 66.119.34.57
910 哈啦 2005-05-12, 22:22:04 forum.php update forum id = 33 66.119.34.58
909 哈啦 2005-05-12, 22:21:41 forum.php edit forum id = 33 66.119.34.60
908 哈啦 2005-05-12, 22:21:11 forum.php modify 66.119.34.57




恩,綜合以上的LOG紀錄與哈啦站大的描述,我的分析是:

該CRACKER是經Webmaster.clu.tw 的phpBB系統先破解哈啦站長的密碼

因為根據哈啦站長的描述,他的密碼只有四位數字,且還是相同的數字一 一|||

因phpBB沒有安全登入系統,我想這應該不難破解,稍微用程式TRY一下就出來了

至於這點,有待調閱webmaster.club.tw的apache紀錄查證

但因為webmaster.club.tw的LOG紀錄不完整....可能要另外找時間再做分析


因哈啦站大的密碼都是相同的,因此雖然vBB有安全登入系統,但LOG看來

該CRACKER根本沒有嘗試破解就直接都入了Orz

進入控制台後,他是直接修改設定值植入iframe

這些動作vBB都紀錄下來了(詳見apache log和vBB後台log)


恩,在分析他的IP,那應該是個proxy吧?應該是在美國吧?

不過Apache LOG裡面寫道"zh-CN"

所以應該是中國那邊的cracker



初步的結論是

應該不是主機也不是論壇的漏洞,應該是密碼導致的安全性問題

恩,好晚了

其他正去要再繼續蒐集

明天想到再補吧

我累了Orz

晚安各位
回覆時引用此篇文章
  #2  
舊 2005-05-14, 09:07 AM
sakillll sakillll 目前離線
進階會員
 
註冊日期: 2004-07-11
文章: 1,481
預設

代碼:
因為根據哈啦站長的描述,他的密碼只有四位數字,且還是相同的數字一 一|||
真的滿短的
__________________
123
回覆時引用此篇文章
回覆

標籤


發文規則
可以發表新主題
可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 07:31 AM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.