当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03494

漏洞标题:最近大规模服务器攻击事件攻击者的敏感信息暴露及给cncert案例一份

相关厂商:cncert国家互联网应急中心

漏洞作者: shine

提交时间:2011-12-01 16:59

修复时间:2011-12-31 17:00

公开时间:2011-12-31 17:00

漏洞类型:恶意信息传播

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-12-01: 细节已通知厂商并且等待厂商处理中
2011-12-01: 厂商已经确认,细节仅向厂商公开
2011-12-11: 细节向核心白帽子及相关领域专家公开
2011-12-21: 细节向普通白帽子公开
2011-12-31: 细节向实习白帽子公开
2011-12-31: 细节向公众公开

简要描述:

考虑了近几秒钟才发的,不想管你们那点破事,但我两个月前被攻击了两次。就因为哥在家上网测试漏洞时,没有用路由器,直接暴露在外网,再加上电脑装了几个数据库(可能是mssql漏洞溢出得手的),居然下木马到哥电脑上,哥很愤怒!

详细说明:

攻击者使用一套整合了大量漏洞的程序,组织或感染大批服务器进行对其他服务器的攻击,服务器感染后成为宿主,这样感染的服务器就成几何数字增长!

漏洞证明:

大部分截图为两个月前。
防火墙拦截攻击者的攻击信息,如图:


全是服务器,如图:


看第一个攻击的ip,如图:


______________________________________________________________________
感染我本机,下载的文件,如图:


看第三和第四个文件:
第四个文件reg.reg内容(为尊重攻击者个人隐私,部分信息屏蔽),篡改主页,如图:


两次感染的第三个文件onfserver.dat,ftp木马下载文件,第一个,如图:



还是韩国的服务器,如图:


刚测试,好象已经关闭了!
第二个,如图:


这个现在还在用,如图:


攻击特点:主要攻击window系列服务器系统(xp也攻击),攻击切入点为系统漏洞或数据库漏洞等。
感染的服务器数量巨大,CNCERT应该也监测到过的。
不知道图文是否结合好了(乌云!编辑器再不改进我就不发了!),免费做个案例给你们,CNCERT有没有奖品的?哈哈!

修复方案:

我帮不了你们!

版权声明:转载请注明来源 shine@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)

漏洞评价:

评论

  1. 2011-12-01 17:14 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    怎么没审核就到首页了!

  2. 2011-12-01 18:51 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个狂赞!

  3. 2011-12-01 19:18 | 凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)

    期待内幕真相

  4. 2011-12-01 19:33 | 我真的不帅 ( 路人 | Rank:19 漏洞数:7 | 今朝有酒今朝醉,天道茫茫何所求)

    围观个

  5. 2011-12-01 22:17 | livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)

    一举成名了

  6. 2011-12-01 22:44 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    乌云!开始的提交该漏洞的异常原因找到了吗?自己评的20分好象也没加!感觉怪怪的!

  7. 2011-12-02 14:01 | Buger ( 路人 | Rank:6 漏洞数:1 | test by Buger)

    好像还是没看到啊.木有公开么?还是说级别不够?

  8. 2011-12-03 14:46 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    求真相

  9. 2011-12-05 17:03 | Buger ( 路人 | Rank:6 漏洞数:1 | test by Buger)

    xsser为什么有些漏公开了还是看不到呢?求解释!

  10. 2011-12-06 14:52 | Buger ( 路人 | Rank:6 漏洞数:1 | test by Buger)

    看不到...看不到..为什么...可以不可以不要有码?

  11. 2012-03-10 21:03 | Xeyes ( 路人 | Rank:12 漏洞数:2 | 好好学习,天天休息。)

    修复方案:我帮不了你们!碉堡了。@ 哈哈

  12. 2012-03-28 09:44 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

    提供了一个好思路,想了解目前最流行的抓鸡方式,弄个满是漏洞的服务器丢到公网即可。最好配置好点。。然后就等着黑客上传工具包

  13. 2012-04-11 16:27 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @pestu 这叫蜜罐10年前就有的技术

  14. 2012-04-14 08:32 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @蟋蟀哥哥 原来这叫蜜罐?哈哈!

  15. 2012-04-15 22:15 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @shine 我是说@pestu的想法是蜜罐的原理

  16. 2012-04-16 05:32 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @蟋蟀哥哥 ^-^

  17. 2012-04-30 20:44 | Say ( 路人 | Rank:17 漏洞数:4 | 谁又会鉴定谁正常?)

    @pestu 哈哈 honey pot

  18. 2012-07-18 12:00 | Cp0204 ( 实习白帽子 | Rank:37 漏洞数:4 | 著名艺术家)

    @pestu 有杀软会这么干的,所以有时要小心了

  19. 2013-02-06 20:59 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

    这个我也遇到过,直接GHOST还原了,当初是MSSQL弱口令的。这种也能上来??