苗启源的部落格

最近，使用公司虚拟主机的客户老是抱怨网站被挂马，服务器安全方面我认为是没有问题的，问题只有可能出现在ftp上。查看服务器日志，果然没错，近期有大量的ftp登录失败的日志。
原因找到了，看看到底是那些空间出现了问题。于是模仿攻击这的方式，用php写的ftp猜解工具，今天测试了一下，结果让人触目惊心啊。考虑再三，本工具还是一改我往常的作风，不公开源代码了，原因嘛~太危险了，本工具一个小时能检测1800(我测试的服务器机房线路比较好，所以速度很快)个站点左右，出现安全隐患的竟然能达到300个站点左右，出现问题的站点竟然能占到1/6，如果被非法份子利用，跑10个小时，可能就有3000个站点遭殃了。
简单说一下功能，php 5.0开发的，
1、首先载入页面框架，提示输入一个域名
2、得到该服务器上的站点，调用myip.cn上的同服务器站点，返回列表。使用了easytemplate框架。
3、根据2的列表，依次执行猜解工作。每次猜解完一条信息，通过ajax返回工作进度，暂停0.5秒继续猜解。

猜解字典可自定义，一下密码均可被猜出：
同FTP名
域名去掉.（比如域名:www.baidu.com 密码为wwwbaiducom,baiducom）
123,1234,12345,123456,1234567,12345678,123456789,5201314,1314520,987654321,54321,88888888,000,0000,001,002,007,008,10th,1st,2nd,3rd,4th,5th,6th,7th,8th,9th,100,101,108,133,163,166,188,233,266,350,366,450,466,136,137,138,139,158,168,169,192,198,200,222,233,234,258,288,300,301,333,345,388,400,433,456,458,500,555,558,588,600,666,598,668,678,688,888,988,999,1088,1100,1188,1288,1388,1588,1688,1888,1949,1959,1960,1961,1962,1963,1964,1965,1966,1967,1968,1969,1970,1971,1972,1973,1974,1975,1976,1977,1978,1979,1980,1981,1982,1983,1984,1985,1986,1987,1988,1989,1990,1997,1999,2000,2001,2002,2088,2100,2188,2345,2588,3000,3721,3888,4567,4728,5555,5678,5888,6666,6688,6789,6888,7788,8888,8899,9988,9999,23456,34567,45678,88888,654321,888888,6666,56789,1234567,12345678,737,777,1111,2222,3333,4321,computer,cpu,memory,disk,soft,y2k,software,cdrom,rom,admin,master,card,pci,lock,ascii,knight,creative,modem,internet,intranet,web,www,isp,unlock,ftp,telnet,ibm,intel,microsoft,dell,compaq,toshiba,acer,info,aol,56k,server,dos,windows,win95,win98,office,word,excel,access,unix,linux,password,file,program,mp3,mpeg,jpeg,gif,bmp,billgates,chip,silicon,sony,link,word97,office97,network,ram,sun,yahoo,excite,hotmail,yeah,sina,pcweek,mac,apple,robot,key,monitor,win2000,office2000,word2000,net,virus,company,tech,technology,print,coolweb,guest,printer,superman,hotpage,enter,myweb,download,cool,coolman,coolboy,coolgirl,netboy,netgirl,log,login,connect,email,hyperlink,url,hotweb,java,cgi,html,htm,home,homepage,icq,mykey,c++,basic,delphi,pascal,anonymous,crack,hack,hacker,chinese,vcd,chat,chatroom,mud,cracker,happy,hello,room,english,user,netizen,frontpage,agp,netwolf,usa,hot,site,address,mail,news,topcool

新写的xmlClass，有些简陋，不过常用的功能都可以直接调用了。

<%
‘==============================================================
‘ xmlClass v1.10.0617 by CatSeven
‘==============================================================
‘ 文件：xmlClass.asp
‘ 功能：常用的XML处理
‘ 作者：苗启源(http://www.miaoqiyuan.cn)
‘==============================================================
class xmlClass
Dim xmlobj

Public Sub Class_Initialize
set xmlobj = Server.CreateObject("Microsoft.XMLDOM")
End Sub

Public Sub Class_Terminate
[...]

com1不能删除
com1是不能直接创建的，攻击者可以利用\\.\漏洞来创建文件。
在资源管理器中不能直接删除，删除的时候用unc路径即可。
如果是隐藏只读文件，del是不能删除的
attrib \\.\E:\***\com1.asp -s -r -h
del \\.\E:\***\com1.asp
在Windows XP新建文件、文件夹或快捷方式时，系统的保留特殊设备名：CON，PRN，LPT，COM1，COM2，COM3，COM4，NUL、AUX，……不允许直接使用，但以特殊方法使用它们作为文件名或文件夹名后又能产生新的特别功能。如用下面命令建立新文档，不管文件类型扩展名是什么，文档中有无内容都不能正常打开，除非使用特殊方式打开浏览文档和对文档进行操作：
copy con \\.\d:\设备名.txt (文件扩展名可以为.RTF,.XLS,DOC,.WAV,.HTML,.MP3,.RM……)
MD \\.\D:\CON 或其它设备名，可以建立起能打开但不能删除的文件夹。
del \\.\D:\设备名.txt
RD \\.\D:\CON 或其它设备名
还有一个漏洞，是.\文件夹漏洞，很早以前我在博客中提到过，经常被病毒利用。下面就攻击者的使用性来说这两个漏洞的区别。

<%
set fso=server.createobject("Scripting.FileSystemObject")

‘几个特殊文件的建立和删除方法
‘asp可以创建，可以删除
‘cmd可以创建，可以删除
‘直接 创建 不可创建，不可删除，可浏览目录，不可查看文件
con = "\\.\" & Server.Mappath("con")
‘fso.createfolder con
fso.deletefolder con

‘ .\ 漏洞
‘asp可以创建，不可以删除
‘cmd可以创建，可以删除
‘直接 创建 不可创建，不可删除，不可浏览目录，不可查看文件
con = "\\.\" & Server.Mappath("abv") & [...]

联网下，一分钟安装LAMP环境。
Ubuntu下安装 apache2 + php5 + mysql 1. 安装运行环境
sudo apt-get install apache2
sudo apt-get install mysql-server
sudo apt-get install php5-common
sudo apt-get install php5-gd
sudo apt-get install php5-mysql
sudo apt-get install libapache2-mod-php5
apache2默认的 sites路径在
/var/www/sites
哈哈，很快把
2. 配置php5
sudo gedit /etc/php5/apache2/php.ini
修改允许最大使用内存，查找
memory_limit = 8M
修改为
memory_limit = 32M
修改允许最大上传尺寸，查找
upload_max_filesize = 2M
修改为
upload_max_filesize = 8M
允许 mysql 和 gd 模块，检查文件最后是否包含下面的代码，如果没有添加上。（默认是在配置文件最后有添加的，检查一下以防万一）
extension=mysql.so
extension=gd.so
保存并关闭文件。
3. 配置 mysql，让它支持其它客户端访问，如果你不需要就不用修改。
sudo gedit /etc/mysql/my.cnf
查找 文件
skip-networking
修改为
#skip-networking
保存并关闭文件。
重 新启动 [...]

    IIS支持Python，这是一个多么令人心动的尝试啊。今天我就实现了IIS支持Python。
   环境IIS6 + Python2.5，其他版本都差不多。
   新建Web服务扩展，py，要求的文件填写C:\Python25\python.exe %s %s。网站>属性>主目录配置>映射>添加。扩展名：.py，可执行文件填写C:\Python25\python.exe %s %s。确定，怎么出错？改成”C:\Python25\python.exe”  %s %s，哈哈。可以了，测试一下。

print (‘Status: 200 OK’)
print (‘Content-Type: text/html’)
print (”)
print (‘<h1>Hello, Python</h1>’)

浏览器访问一下，正常，哈哈哈。。。成功了。

服务器被攻击了怎么办，记一次服务器被攻击的解决方案
今天公司有台服务器所有网站打不开，怀疑是被人攻击了，联系机房，竟然没有发现攻击。那就奇怪了。
开启IIS，所有站点马上都不能访问，服务器ping不通。
郁闷，想起用nc看看到期有什么站点是什么站点的请求在访问。
关闭IIS，执行nc -L -n -p 80监听80端口，看看客户提交了什么数据。为了方便调用，nc -L -n -p 80>>log.txt。多执行几次，供我们分析数据。
重复监听100多次，通过分析，下边的一个数据引起了我的怀疑。

GET /ccdos.php?ip=***&port=80&time=100 HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Host: [...]