我們學(xué)校被釣魚了����,泄露了不少同學(xué)的郵箱信息。正好先來無事��,實驗室的師哥們就帶這我們這幫菜雞們玩了玩(嗚嗚嗚~~基本都是師哥拿下來的���,弟弟太菜了)�����,畢竟在我們這種特殊院校出現(xiàn)這種事件說明犯罪分子十分囂張了����。
事件起因
前幾天在我們學(xué)校��,有不少同學(xué)收到了這個名為“校辦處”��,標題為“錄取通知”的郵件:
郵件內(nèi)容就給了你一個鏈接讓你去看他所謂的“詳情”��。然后我們直接訪問這個鏈接��,便出現(xiàn)了一個QQ郵箱的登錄頁面:
有經(jīng)驗的同學(xué)很快就能反應(yīng)過來這是一個釣魚網(wǎng)站����,但是這個網(wǎng)站除了鏈接以外����,做的跟真的QQ登錄頁面一模一樣����,就不能避免一些好奇的同學(xué)輸上密碼試試,當你輸入QQ號碼和密碼后就會跳轉(zhuǎn)進入到真實的QQ郵箱頁面:
這是釣魚網(wǎng)站的一個最鮮明的特征����,即輸入賬號和密碼后自動跳轉(zhuǎn)到真正的官網(wǎng)上。但是你的QQ賬號和密碼已經(jīng)傳輸?shù)搅藢Ψ胶诳头⻊?wù)器的數(shù)據(jù)庫里����,可以繼續(xù)往下看。
嘗試攻擊
我們在嘗試攻擊該釣魚網(wǎng)站時�,我么先是發(fā)現(xiàn)了從該頁面提交的登錄信息都會發(fā)送到另一個,其服務(wù)器的IP為45.xxx.xxx.63����,
本想嘗試登錄一下該服務(wù)器的后臺,卻發(fā)現(xiàn)對方給出的后臺地址是個假的��,進去之后只有無盡的挑釁并且太過“辣眼睛”:
然后掃描了一波目錄之后也沒有是什么發(fā)現(xiàn)���。
然后嘗試sql注入��,一波注入猛如虎���,發(fā)現(xiàn)居然有過濾機制,最后全被waf檢測了�。。��。
嘗試sqlmap又被封了IP��。小白加菜雞的我頓時陷入了懵逼的困境中��。
前幾天���,就在前幾天360CERT監(jiān)測發(fā)現(xiàn)寶塔面板官方發(fā)布了數(shù)據(jù)庫未授權(quán)訪問漏洞的風險通告��,漏洞等級為嚴重�����。遠程攻擊者通過訪問特定路徑�����,可以直接訪問到phpmyadmin數(shù)據(jù)庫管理頁面��,并可借此獲取服務(wù)器系統(tǒng)權(quán)限
之后對目標服務(wù)器進行了簡單的信息收集:
得知該服務(wù)器位于美國弗吉尼亞州赫恩登(畢竟是干壞事怎么能在國內(nèi)呢)�����,并且一個重大的發(fā)現(xiàn)是���,目標服務(wù)器開啟了8888端口�����,這是服務(wù)器運維面板——寶塔的默認端口��,而就在這幾天剛剛披露出了寶塔數(shù)據(jù)庫未授權(quán)訪問的一個漏洞�,實驗室的師傅們便在這里試了試��,竟然成功了��,最終成功進入目標服務(wù)器的數(shù)據(jù)庫管理頁面�����,一鍵root哈哈哈:
如下��,在qmail表的fish_user字段中發(fā)現(xiàn)了一些受害者的QQ賬號和密碼信息:
之后rayi師傅就其將交給了各位網(wǎng)警師哥們做相關(guān)的電子數(shù)據(jù)取證處理了���,嘿嘿~~估計那個小黑客可以等著吃牢飯了�����。
事后與危害性分析
說到這里����,你可能想問��,那個黑客是如何給我們發(fā)送郵件的��?他有是如何得到我們的郵箱信息的�����?我們的郵箱信息有是如何泄露的呢�����?
這太簡單了����,由于此次事件的發(fā)生是有一定的聚集型的,并且基本校內(nèi)每個同學(xué)都收到了郵件����,所以我們推測�,對方可能是混入了我們的招生群:
那么黑客得到了我們的QQ好之后又有什么用呢��,難道就是單純的想盜你號然后給你發(fā)xx圖搞惡作劇嗎����?當然不是,這背后牽扯的是一條黑色的產(chǎn)業(yè)鏈����。
比如某某黑客負責盜號,然后把這些賬號封裝起來�,出售給專門收信的人,只要密碼是正確的�,不管能不能登上去。收信人買來這些賬號后���,有的做成“社工庫”�����。
而如果釣到的是游戲賬號��,收信人也會進行“洗信”(“信”的內(nèi)容就是游戲賬號密碼等信息����,洗信說白了其實就是盜號洗錢)。之后���,“收信人”利用工具去批量測試這一個信封的號碼���,看看有多少個被凍結(jié)或者密碼錯誤。最后將那些密碼對的賬號����,進行游戲裝備等清洗�,比如轉(zhuǎn)走你的游戲裝備,積分����,游戲幣,等等�����。
像這樣的一個賬號只值六毛到八毛左右��,這種交易當然是違法的不容置疑����。
如何防范
像這種釣魚網(wǎng)站無非有以下幾個特征:
1��、URL鏈接比較可疑:
你覺得但凡是他們QQ官方能用這么別扭的鏈接嗎�����?
2�����、隨便輸入試試看
當你在登錄頁面輸入賬號和密碼時�����,不管你輸入的賬號密碼是否正確�����,都能跳轉(zhuǎn)到官方頁面����,像這種情況在真是的官方登錄頁面是不會發(fā)生的�����,所以,當你進入這樣一個登錄頁面時����,可以先輸上一個錯誤的賬號和密碼試試看,如果登錄成功則為釣魚網(wǎng)站����,反之,登陸失敗則為真是官方網(wǎng)站���。如下:
但要注意�,這種釣魚站很久前就有考驗人心理��,第一次不管怎么輸入�����,它都提示你輸錯���,這時你第二次輸入才進行跳轉(zhuǎn)。而且兩次數(shù)據(jù)都入庫�,更便于篩選,兩次密碼一致大概率就是真的密碼。
3�、提高警惕性
釣魚網(wǎng)站大多的手段就是發(fā)送給你一個比較有誘惑的鏈接或者二維碼(二維碼掃描之后還是跳轉(zhuǎn)至鏈接),所以警惕中獎�、修改網(wǎng)銀密碼、QQ密碼的通知郵件��、短信�,不要輕意點擊未經(jīng)核實的陌生鏈接和掃描二維碼。
不要在多人共用的電腦上進行金融業(yè)務(wù)��,如在網(wǎng)吧等���。更不要將自己的隱私信息隨便給他人�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
