V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
liuxu
V2EX  ›  程序员

php 网站被白帽黑客 gank,目录被删,求老司机介绍介绍目前的黑客技术发展情况

  •  
  •   liuxu · 2016-09-05 10:53:08 +08:00 · 6539 次点击
    这是一个创建于 3008 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目录为在 domain/index/index.shtml ,整个 index/目录被删。 对方给了 QQ , 9 位, 4 年 Q ,头像和名字都和 80 后符合,不像刚学了点黑客技术的小孩子,应该是安全人士,目前还没能联系上。 希望各位介绍介绍目前的技术,上传部分检查过,都是 mkdir ,并且都是拿 session 中的用户名做 hash 建立目录,建立前也 is_dir 判断过是否存在。

    第 1 条附言  ·  2016-09-05 11:51:31 +08:00
    可能是我没表达清楚,这个删除应该是验证漏洞时删的,删了之后他发现漏洞成立,又没权限新建出来,之后马上联系了我们,给了联系方式。

    我是想问问目前有什么技术可以删目录,例如有办法 webshell 拿到 root 权限,或是其他?
    第 2 条附言  ·  2016-09-05 17:29:45 +08:00
    好吧,不是白帽子,是白无常。
    我发帖是为了获取能删目录的方法,不是为了获得“白帽子”名词定义。
    那个人已经联系了,问题已解决。
    50 条回复    2016-09-06 18:14:20 +08:00
    Yinz
        1
    Yinz  
       2016-09-05 10:58:01 +08:00
    删文件这也算白帽子??
    tabris17
        2
    tabris17  
       2016-09-05 10:58:59 +08:00
    联系上之后记得问他要地址,就说要给他寄一份礼物表示感谢
    seeker
        3
    seeker  
       2016-09-05 10:59:21 +08:00
    楼主请谷歌下白帽子
    RIcter
        4
    RIcter  
       2016-09-05 11:00:48 +08:00 via iPhone
    需不需要代码审计?

    讲道理干这种事情的人大部分是小黑客,安全圈边缘…
    有能耐的黑客从来不会留 QQ 勒索,不如报警(
    hard2reg
        5
    hard2reg  
       2016-09-05 11:03:56 +08:00
    前排强势围观
    21grams
        6
    21grams  
       2016-09-05 11:05:51 +08:00
    这是白帽子被黑的最惨的一次
    lutla
        7
    lutla  
       2016-09-05 11:12:23 +08:00
    白帽躺枪
    harker
        8
    harker  
       2016-09-05 11:15:18 +08:00
    不是白帽子的作为
    ljcarsenal
        9
    ljcarsenal  
       2016-09-05 11:16:13 +08:00
    报警呗
    qqmishi
        10
    qqmishi  
       2016-09-05 11:30:13 +08:00 via Android
    这明显是黑帽,报警吧
    miyuki
        11
    miyuki  
       2016-09-05 11:30:39 +08:00
    发出 QQ

    ref /t/233803
    former
        12
    former  
       2016-09-05 11:41:56 +08:00
    白帽子是不可能做破坏的更何况删文件这种事,建议检查网站代码服务器日志等,看看问题出哪了
    phpdever
        13
    phpdever  
       2016-09-05 11:47:18 +08:00
    很明显是 script boy
    rqrq
        14
    rqrq  
       2016-09-05 11:52:41 +08:00   ❤️ 1
    上传目录禁止运行脚本设置了没有?仔细看下 web server 的 log
    liuxu
        15
    liuxu  
    OP
       2016-09-05 11:59:02 +08:00
    @rqrq 好的,我去看看
    mozutaba
        16
    mozutaba  
       2016-09-05 12:01:10 +08:00
    脚本小子不是按年龄看的。
    qhxin
        17
    qhxin  
       2016-09-05 12:04:47 +08:00
    有可能是一个抠脚大叔
    just1
        18
    just1  
       2016-09-05 12:09:57 +08:00
    。。。 9 位 qq 分明就是小孩子啊。 4 年 q 不是小孩子是什么
    just1
        19
    just1  
       2016-09-05 12:11:29 +08:00
    @just1 我就是 9 位 q ,还不少。。 20 岁以上都是 8 位 7 位了
    Jakesoft
        20
    Jakesoft  
       2016-09-05 12:24:43 +08:00 via iPhone
    我 90 后已经 9 年 Q 龄了
    ytmsdy
        21
    ytmsdy  
       2016-09-05 12:27:50 +08:00
    应该是一个脚本小子,在测试入侵的时候,没有估计到具体后果。直接把你的主目录给干掉了。
    你的 domain 目录理论上来说应该是允许 php 运行进程进行操作的。不一定需要拿到 root (或许是通过其他方式进行了提权)。看看 access log ,应该能够查出来具体的漏洞页面在那里。
    hack
        22
    hack  
       2016-09-05 12:28:52 +08:00
    谁手里还没囤些 QQ 号,留 QQ 号可能是炫耀,或者就是解决问题。如果为了勒索,一般是改文件名就可以了
    phithon
        23
    phithon  
       2016-09-05 13:42:24 +08:00
    初学者干的,发现后果严重,有点怕,就联系你。你误以为是白帽子。
    一般任意文件删除漏洞,我是不会轻易拿来测试的,一般是测试去删除自己上传的头像、附件之类的文件,证明可以删除就行了。哪有直接把 web 目录删了的。
    PythonAnswer
        24
    PythonAnswer  
       2016-09-05 13:49:44 +08:00 via Android
    好粗心的白帽
    MrMario
        25
    MrMario  
       2016-09-05 14:37:50 +08:00 via iPhone
    爆 QQ 号吧,这验证手法不专业啊
    yu1u
        26
    yu1u  
       2016-09-05 14:38:02 +08:00   ❤️ 1
    权限配置问题
    megatron
        27
    megatron  
       2016-09-05 15:11:59 +08:00
    script kiddie ,不知道江湖险恶。
    VictoryMiKi
        28
    VictoryMiKi  
       2016-09-05 15:12:23 +08:00
    这是白帽子被黑得最惨的一次
    VmuTargh
        29
    VmuTargh  
       2016-09-05 16:48:12 +08:00 via Android
    q 号发出来吧,目测脚本小子
    penjianfeng
        30
    penjianfeng  
       2016-09-05 17:06:01 +08:00   ❤️ 1
    这真是“白帽子”。。。是白无常吧这。。。
    wangxn
        31
    wangxn  
       2016-09-05 17:29:50 +08:00 via Android
    @just1 06 年就是 9 位了。
    liuxu
        32
    liuxu  
    OP
       2016-09-05 17:30:23 +08:00
    @yu1u 对的,已解决。
    popok
        33
    popok  
       2016-09-05 17:34:07 +08:00 via iPhone
    你看看你们的类似图片管理 api 啥的有没有删除功能
    alasion
        34
    alasion  
       2016-09-05 19:53:08 +08:00 via Android
    十几年前跑个 SQL 注入能扫出一片地方 ZF 网站。。
    Flygoat
        35
    Flygoat  
       2016-09-05 19:53:58 +08:00 via iPhone
    00 后八年 Q 龄的路过
    tangren
        36
    tangren  
       2016-09-05 20:21:47 +08:00 via Android
    报警,查他 QQ 登录历史记录,即使挂代理,总有蛛丝马迹
    yu1u
        37
    yu1u  
       2016-09-05 20:55:38 +08:00
    @liuxu 这个比较好排查,做好文件和目录权限就可以了.
    mingyun
        38
    mingyun  
       2016-09-05 22:56:22 +08:00
    私下给钱解决了?
    bao3
        39
    bao3  
       2016-09-05 22:57:17 +08:00 via Android
    目录被删除也叫白帽子?我 X
    Zzzzzzzzz
        40
    Zzzzzzzzz  
       2016-09-06 00:29:25 +08:00
    @wangxn
    @just1

    01 年已经是 8 位了, 02 年开始 9 位, 但是会随机放些 8 位的出来, 印象里通过短信注册到的概率高一点.
    killerv
        41
    killerv  
       2016-09-06 09:15:44 +08:00
    怪不得白帽子被抓,话说楼主可以给完钱然后报警的。
    Felldeadbird
        42
    Felldeadbird  
       2016-09-06 09:50:54 +08:00
    楼主可以说一下漏洞的原因么。。
    Felldeadbird
        43
    Felldeadbird  
       2016-09-06 09:52:10 +08:00
    删目录这事情很难定义对方好还是坏。上次我和一个友人在找漏洞,登入了对方后台后,有一个操作是改 程序目录级别的。结果一下子整个站 都挂了(目测被删了)。
    cjyang1128
        44
    cjyang1128  
       2016-09-06 10:01:47 +08:00
    白帽黑客并不屑于做这种事。。。
    permaylau
        45
    permaylau  
       2016-09-06 10:53:56 +08:00
    服务器没有开启每日备份么?这样还会有补救措施
    wizardforcel
        46
    wizardforcel  
       2016-09-06 13:36:51 +08:00 via Android
    能访问到 webshell 就说明你的应用没用什么框架也没自己实现任何路由机制。那说明还是老的方法。可以在 log 上面找找 webshell 的上一次访问。
    Lcys
        47
    Lcys  
       2016-09-06 13:39:40 +08:00
    对方修复了漏洞,并抓捕了你
    luluuulu4848
        48
    luluuulu4848  
       2016-09-06 18:02:53 +08:00
    @Lcys 6666
    luluuulu4848
        49
    luluuulu4848  
       2016-09-06 18:03:08 +08:00
    人家都留 qq 了~
    dong3580
        50
    dong3580  
       2016-09-06 18:14:20 +08:00 via Android
    @qqmishi
    讲真,警察叔叔管?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2538 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:50 · PVG 12:50 · LAX 20:50 · JFK 23:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.