记录下这个地址218.25.160.14--寒鸦万点

§‖ Date ::..

正在载入……

§‖ BLog Info ::..

正在载入……

§‖ New BLog ::..

正在载入……

§‖ Comment ::..

正在载入……

§‖ Message ::..

正在载入……

§‖ User Login ::..

§‖ Search ::..

正在载入……

§‖ Links ::..

正在载入……

记录下这个地址218.25.160.14

11月5日中午，习惯性地检查WEB服务器日志，就发现4号中午到5号中午有人用软件持续一天猜测密码想登陆，到我看的时候还在继续猜解。我把FTP关闭后就停止了，大概是在猜FTP密码吧。因为有防火墙隔离了外网，服务器日志上没有记录到对方IP。当时因为有别的工作比较忙，没有作进一步的追查。今天无意中看了下防火墙日志，没想到那个弱智的防火墙还把当时的攻击IP给记录下来了：218.25.160.14。呵呵看来这个功能非常弱的防火墙还是能对明显的攻击行为有点作用的。

根据IP反查的结果如下：

218.25.160.14 ==>> 3659112462 ==>> 辽宁省大连市网通ADSL

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.24.0.0 - 218.25.255.255
netname: CNCGROUP-LN
country: CN
descr: CNCGROUP Liaoning province network
admin-c: CH455-AP
tech-c: GZ84-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-LN
mnt-routes: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20031016
changed: hm-changed@apnic.net 20040405
changed: hm-changed@apnic.net 20040927
changed: hm-changed@apnic.net 20060126
source: APNIC
route: 218.24.0.0/15
descr: CNC Group CHINA169 Liaoning Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20060118
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse@cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse@cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: Guangyu Zhan
nic-hdl: GZ84-AP
e-mail: abuse@online.ln.cn
address: DATA Communication Bureau of Liaoning Province,China
address: 38 Lianhe Road,Dadong District Shenyang 110044,China
phone: +86-24-22800096
fax-no: +86-24-22800368
country: CN
changed: zhangy@lntelecom.com 20030122
mnt-by: MAINT-CNCGROUP-LN
source: APNIC

解释下：

person: Guangyu Zhan
nic-hdl: GZ84-AP
e-mail: abuse@online.ln.cn
address: DATA Communication Bureau of Liaoning Province,China
address: 38 Lianhe Road,Dadong District Shenyang 110044,China
phone: +86-24-22800096
fax-no: +86-24-22800368
country: CN
changed: zhangy@lntelecom.com 20030122
这几句比较重要点。大概是这个IP地址的负责人的联系方式。“詹广俞”？辽宁数据通讯处？沈阳大东区联合路38号？这个是辽宁省电信局的地址啊。再查百度：“辽宁省电信局 地址： 沈阳大东区联合路38号,联合路与小北关街路口以东约170米路北,沿联合路方向”。“zhangy@lntelecom.com”这个是电信局技术负责人的邮箱了。

现在比较明确了，是网通的ADSL宽带上网用户的动态IP。如果有网通的配合，通过他们的日志继续追查11月4日11点11分36秒到11月5日12点42分30秒，这个IP是谁在用，就能查到了。得要报案让警察帮忙追查才有可能得到网通的配合。

暂时只给他们电信局技术负责人发封邮件吧：

辽宁省电信（网通）局的技术管理负责人：

您好！我是武汉市武钢五中网络管理员。2007年11月4日11点11分36秒到11月5日12点42分30秒，贵公司所管理IP地址段有IP（218.25.160.14）对我校服务器持续暴力破解FTP密码。目前暂未造成危害，我校保留诉诸法律的权利。一旦有侵犯我校网络安全方面的事故发生，望协助调查，保持联系。谢谢！

武汉市武钢五中

2007年11月20日

不知道这个邮件有没有用，也许那个邮箱已经是多年前的已经过期没人再用，也或者对方对我们这样的小CASE根本不屑一顾……

算了吧，那人又没有入侵成功没有造成危害，无所谓了。这人也真够笨的，在自己家里用软件暴力破解密码，连代理都没架，大概是刚学HACK的小鸟。为了技术而献身，我们暂且宽容地同情理解一下他吧。

当然也不排除他的电脑被人入侵成了肉机当了替罪羊。查下他的电脑有没有后门以及日志或者其他痕迹就知道了。

……

写这些无聊的东西干什么呢？提供一种反入侵思路，同时也可以警告下想入侵的朋友，别黑我。我的服务器上是开了好几个端口，21、80、3389等等，在高手的眼里看来安全设置是配置得很菜（一般中小学校的网络都这样，没专业的安全技术人员没经过完整的网络安全方面的培训，技术含量有限）。但我密码是十几位字符以上混合特殊符号的，暴力破解你就用电脑跑个十天半月去吧。有技术拿来我向你学习，拜你为师。你收几个网管当徒弟，多光荣！只是别跟我的工作过不去。害人害己的事情对大家都没好处。把我搞急了我就弄蜜罐、我就报警。

——别误会，不是跟你宣战的意思，就是想交个朋友，多个朋友比多个敌人好，你说呢？

howardyin by 2007-11-20 9:20:00
阅读全文 | 回复(3) | 引用通告 | 编辑

Re:记录下这个地址218.25.160.14

晚上在家里用x-scan查了下那个地址，结果：

x-scan reportx-scan report
this report gives details on hosts that were tested and issues that
were found. please follow the recommended steps and procedures to
eradicate these threats.

scan result
hosts which were alive and responding during test1
number of security holes found0
number of security warnings found31
number of security notes found4

host list
host(s)possible issue
218.25.160.14security warnings found
host summary - os: unknown os; port/tcp:

[return to top]

analysis of host: 218.25.160.14
address of hostport/serviceissue regarding port
218.25.160.14telnet (23/tcp)security notes found
218.25.160.14www (80/tcp)security warnings found

security issues and fixes: 218.25.160.14
typeport/servicesecurity issues and fixes
informationaltelnet (23/tcp)a telnet server seems to be running on
this port
nessus_id : 10330

warningwww (80/tcp)cgi-vuln: http://218.25.160.14/..\..\autoexec.bat
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/bin/common/user_update_passwd.pl
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/cgi
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/cgi-bin/fpcount.exe
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/cfusion/database/smpolicy.mdb
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/_vti_pvt/shtml.dll
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/_vti_pvt/shtml.exe
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/a.asp/..\../..\../winnt/repair/sam
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/main.asp%2e
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/iissamples
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/carbo.dll
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/cfdocs/expelval/openfile.cfm
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/iissamples/default
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/main.asp%2e%41sp
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/cgi-bin/post32.exe
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/documents/
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/cgi-bin/mmstdod.cgi?alternate_templates=
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/cgi-bin/plusmail
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/cgi-bin/php.cgi
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/cgi-bin/lasso.cgi
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/secure/.wwwacl
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/domcfg.nsf
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/cgi-bin/mdma.bat
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/cgi-bin/mailfile.cgi
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/cgi-bin/nph-maillist.pl
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/index.php3?vhosts[test]=
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/programs/
warningwww (80/tcp)cgi-vuln:
http://218.25.160.14/opendir.php?requesturl=/etc/passwd
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/pservlet.html
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/search97cgi/vtopic
warningwww (80/tcp)cgi-vuln: http://218.25.160.14/logger.html
informationalwww (80/tcp)a web server is running on this port
nessus_id : 10330

informationalwww (80/tcp)
this web server is [mis]configured in that it
does not return '404 not found' error codes when
a non-existent file is requested, perhaps returning
a site map, search page or authentication page instead.

nessus enabled some counter measures for that, however
they might be insufficient. if a great number of security
holes are produced for this port, they might not all be accurate
nessus_id : 10386

informationalwww (80/tcp)the remote web server type is :

virata-emweb/r6_0_1

solution : we recommend that you configure (if possible) your web
server to return
a bogus server header in order to not leak information.

nessus_id : 10107

howardyin by 2007-11-20 23:19:37
个人主页 | 引用 | 返回 | 删除 | 回复

Re:记录下这个地址218.25.160.14

上面查到的那些，除了确切地知道对方开了23和80端口以外，后面的那些暂时不可相信，因为经过ie测试，无论打开哪个文件都返回同一个用来登陆的页面，所以可以暂时推断为对方机器做过设置而导致x-scan判断失误。

好了，既然他开了23和80，那么他就应该不太可能是普通的通过动态ip上网的宽带用户了，很可能是有固定ip的，嘿嘿，有点追查价值。

他那个登陆页现在是唯一的进一步追查线索了。看他源代码，却没有一般登陆页的提交判断帐号密码的asp，而是通过script脚本来判断。很古怪。看样子像是硬件防火墙或者路由器的web管理入口。

在源代码里找到这句：
<h1>this webui administration tool requires scripting support.</h1>
<h2>please obtain the latest version of browsers which support the javascript language or
enable scripting by changing the browser setting
if you are using the latest version of the browsers.
</h2>

用“webui administration tool”在百度里搜，得到线索说这个东西很可能是“virata-emweb dsl modems”的，再仔细观察上面x-scan的结果：virata-emweb/r6_0_1，肯定了，是一种宽带路由器（很可能是tplink的），通过virata-emweb/r6_0_1提供web服务。而且6.0.1这个版本是比较老的了，大约是05年前的，06年以后的新产品都是6.1.0或者6.2.0了。那么“我的对手”应该也是连接宽带上网有几个年头了。

先试试tplink路由器的默认密码，……进不了，要么修改过设置，要么不是tplink。

不过是否tplink也不能完全肯定，据查到的信息“virata-emweb web server 6_1_0 是 intracom jetspeed 500, 520 与 allied data technologies copperjet 811 routerplus dsl modems 内建的网页伺服器”来判断，应该也有其他网络设备内嵌使用了virata-emweb

……太晚了，明天还要上班，不查了，留两个有用的地址先：
关于virata-emweb web server 6_1_0的漏洞的：
http://cnvdb.dragonsoft.com/detail.php?id=2405

关于渗透路由器进入内网的：
http://cache.baidu.com/c?word=virata%2cemweb&url=http%3a//www%2eruncmd%2ecom/article%2easp%3fid%3d138&p=8757c54ad09b12a059eec0285a4c&user=baidu

有闲暇再继续查吧。

howardyin by 2007-11-21 1:11:47
个人主页 | 引用 | 返回 | 删除 | 回复

Re:记录下这个地址218.25.160.14

那人于2007年11月29日晚上九点盗了我区玩家的游戏账号，大话西游二的高级玩家号

以下为blog主人的回复：
真的？你怎么知道啊？

那人是盗号的(游客) by 2007-11-29 23:14:23
个人主页 | 引用 | 返回 | 删除 | 回复

发表评论：

正在载入……