第六卷 移星换月篇 第三十九回(189)天守突击行动开始
甘海墨收到通知,指周宇成和蓝云飞已经在极光网咖了,便拿出放在保险柜中的休学证书与相关文件走到门外交给等待的明昂。明昂向甘海墨道谢后便直冲回自己的租屋处处理行理,而守天多媒体一直监视着的特务成员也化成搬货员前来帮忙他将行李搬上车,明昂则留着打包最后的电脑主机。
梁品伦知道行李已经搬上车后便先联络甘海墨道:‘你就从你办公的地方进行攻击吧!你负责网咖营业区的IP,和其他攻击特务成员一起。’
甘海墨打开电脑说:‘我知道了,我会尽我的能力去攻击的。’
挂断电话后,梁品伦便指示着每个人进行对台北极光的攻击行动。由于曲先生任命梁品伦指挥,因此他按照事先探得的极光机组IP分配道:‘费比伟、裘安琪,你们攻击C机组;马智风、符峰青,你们攻击B机组;A机组由我们负责。这些机组都是在同一个网域下,这样你们应该了解是什么意思了吧?’
四个人邪邪的笑了笑,开始各自使用他们擅长的攻击方式。
梁品伦又对特务成员说:‘你们的目标是攻击网咖营业区域的电脑,让那些客人发生错乱或什么都无所谓,只要达到目标就行了。’
‘知道了!’所有守天多媒体特务成员应声,甘海墨也随他们行动。
在台北极光里,由特务成员发动的第一波攻势,具有不同目的的封包已经来到网咖营业区的网路之内。郭仑新与部分成员开始他们的防制动作,严密坚控sniffer软体里封包的流动概况。果然,第一波的目标是抢滩行动,大量扫瞄漏洞的资讯传递在极光与守天多媒体之间,目标就是找到漏洞殖入木马。
郭仑新紧盯着各个开启的PORT心想:‘没有用的!我们修补了每个已经公开的漏洞资讯,你们是攻不进来的,除非你们也掌握住未被公开的漏洞。’
甘海墨测试了一些被公开的漏洞后想:‘嗯...这些有公开的漏洞他们在第一时间都已经更新过了,这样是无效的。好,那我就改变成使用溢位攻击,在你的区域连结请求系统中夹带长指令试试看。’
区域连结请求系统是极光网咖内的一种自动更新系统,因应线上游戏的快速更新,极光设计了一套让网咖客人操作到更新档时自动连结到区网上优先搜寻的系统,如果有便先从区网内部抓下来。
甘海墨在区域连结请求系统后面带的命令中输入一大串字,尝试让溢位命令得以执行内部向外的FTP请求,但必需先猜测到系统安装位置。一般而言,系统预设安装在C槽的WINDOWS目录下,但郭仑新设定到E槽的WXP目录。甘海墨的行动便这么展开了,开始不断测试夹带命令与猜测目录位置。
任逍遥在机房则指示道:‘A机组是Windows系统执行ASP,B机组是Linux或FreeBSD系统执行PHP,C机组则是CGI与JSP,这些就拜托你们了。剩余的FTP/TELNET/MAIL Server等专属伺服器组由我亲自监控,你们不用担心。’
宇成和云飞配合简德昌守护A机组,少了明昂虽然让战力折损许多,但其他人必需支援秦天罡与会长,在这个时间点人力有限,也没有办法多调度人了。
秦天罡怒道:‘可恶,网咖区好像已经开始了,我们还没来吗?’
马智风和符峰青没让秦天罡失望,是第一个攻击机组的成员。配合他们操作炎黄系统的是雷备天,第一段攻击便有三十二个IP进行攻击,这当然是马智风和符峰青各利用了十六个代罪羔羊进行的攻击。
秦天罡的手下必需不断从与伺服器通讯的封包中找出攻击行动的IP,但是这毕竟是对外开放的伺服器主机,攻击者的IP会混合在一堆正常连线IP中。撇除HTTP通讯协定后可以确认大部份的连线是有问题的,然而这些连线早已传输了不该存在的木马进入主机,企图感染Apache伺服器软体,对HTTP协定中特殊的URL编码资料提取出来,成为一种木马沟通管道。
符峰青笑着操作一个看似一般网页表单元件的木马软体说:‘你看,我们从香港连线过去不算慢嘛!我已经成功将yelio木马殖上四部Linux主机了,不过BSD系统老是挂不上去,真是麻烦。’
马智风不屑的说:‘哼,看来我们BSD版的yelio木马并不怎么行,我也只殖上三部Linux主机而已,只好针对这几部Linux做攻击,BSD就暂且放过。’
秦天罡检视着传输资讯说:‘监控Linux主机的要小心了,我怀疑已经有某些木马程式被殖入了,这几部主机有着一些相同而且奇怪的URL编码在传送着,IP来自于这几个xxx.xxx.xxx.xxx,你们刚刚对这些IP有查到什么吗?’
一个人举手道:‘报告!我刚刚曾经有截到过这个IP位置xxx.xxx.xxx.xxx对PORT:22进行资料流动,不过那个应该是SSH加密很安全才对啊...’
另外几个人也说:‘我也有看到!’‘我的也是!’‘太奇怪了!?’
秦天罡摇摇头说:‘对手是天守,他们有什么样的能力我们不知道,或许他们早就侦测到我们的SSH连线有漏洞在。’
雷备天则说:‘快点把你们刚才的IP给我,我要向它反追踪!这些IP一定不是他们的真实IP,我得用炎黄系统尽快查出上游来源。’
几个人忙着将IP告知雷备天,然而马智风和符峰青已经设定好暂停连线了。他们的安全系统相当完全,虽然每人有十六个IP,但它们会轮流将这些IP暂停使用,也就是设置代罪羔羊的同时加了时间参数。这些羔羊除了第一次外,可以设定反向连线时间,比如10:00到10:03由A羔羊连线,10:03到10:06由B羔羊连线,只要事先规划好连线时间,就可以每三分钟跳一次IP,而当为方掌握住攻击IP反追踪时,大多超过了三分钟的连线时间而断线,因此查不出源头。
秦天罡果然发现到了新的IP传递奇怪的URL编码,愤怒的想:‘可恶啊...这么短的时间要追查上游实在有点困难,而且这些URL编码我还找不出可以过滤掉的规则,我得再集中我的精神与逻辑能力去判断!’
为了追求反制能力,秦天罡不断的利用他的逻辑能力试图分析出有可能的规则,这是他身为骇客的自觉,他不能输给对方的程式。
同样辛苦的雷备天想着:‘真是可恶啊...这么多的IP,还在不断增加,对方到底预藏了多少个跳板?我得继续测试!该死,如果是Proxy就不会这么麻烦了,可以直接请求原始IP,但这种跳板程式太难往上追了,就算是炎黄系统的能力也一样,总不能每个伺服器都强行侵入吧?’
在这个时刻,简德昌所守护的A机组也被梁品伦和毕示古进行猛烈的突击动作。由于WINDOWS相对于其他作业系统是漏洞较多的,也是梁品伦与毕示古经常在研究的系统,因此他们熟知一些IIS不为人知的漏洞。
毕示古问道:‘如何呢?yelio木马的Windows IIS版应该很容易殖入吧?’
梁品伦则说:‘虽然如此,不过我个人还是喜欢DDoS攻击,那种把频宽塞满的饱足与充实感,实在是人生的一大快感啊!’
毕示古邪笑几声说:‘嘿嘿嘿,我们的任务是让他们服务不正常,但更重要的是牵制周宇成和蓝云飞的行动,还是用yelio与他们玩玩吧!’
目前天守所开发的yelio还是以Apache为主,IIS是后来Windows版新增的支援感染项目。利用IIS的Overflow漏洞,yelio被殖入了。
‘不好了!’宇成直觉道:‘IIS服务被侵入了木马,我得快速查出是什么东西!’
按照何智言先前所教,宇成输入tasklist /m /fi命令找出了一个名为inetylo.dll以及yelio.dll这两个DLL档可能有问题,而云飞也有所发现。
云飞说:‘我输入 tasklist /m inetylo.dll 与 tasklist /m yelio.dll后发现它们都指向一个comect.exe,这个程式可能是它的根基所在!’
宇成问道:‘你有抓到comect.exe的位置吗?’
云飞说:‘它在system32目录下,同时用tasklist去看这个程式会发现它还另外用上了其他五个DLL档,而这些DLL档名似乎是被传进来的。’
简德昌此时说:‘你们猜的没有错!这些DLL档都是因为IIS的一个Overflow问题而被夹带进来的,我刚刚和秦天罡他们问了一下,yelio似乎是一种感染WEB伺服器软体后对特殊的URL编码产生一种识别命令的动作,感染后操作者可以利用浏览网页的方式直接在网址后面加上命令参数以指示木马动作。’
宇成怒道:‘可恶!简医生,让我来操作炎黄系统反攻回去吧?’
简德昌说:‘先别心急,你们就专心对付敌人,IP的事我来帮你们。要找到对方的真实IP,我们才可以进行反制动作啊!’
宇成笑道:‘你一定不熟操作炎黄系统吧?其实它可以利用其他方式反追踪喔!’
简德昌惊讶道:‘这是真的吗?我完全不知道炎黄系统还有这种用法。’
宇成卷起袖子说:‘我用给你看吧!’宇成决定大胆使用强力入侵的方式,这是雷备天所不敢使用的方式,毕竟这相当冒险。利用特别的traceroute能力,取样一个封包后在里面加入炎黄系统特别的资讯,再释放它回到原IP去。原本应该查询到代罪羔羊为止,但配合炎黄系统的漏洞入侵,只要事先殖入一个小程式运作,让它分析到处理有炎黄系统特殊记号封包的程式并抓住跳板程式回传的位置,就可以追查到上游的操纵者。然而,为了快速侵入与资讯流通必需打开自己的防火墙,若对方直接攻击这部主机也有完蛋的可能。
宇成离开后,云飞便快速的利用 ntsd –c q –p 指令关掉各部主机上的comect.exe程式,因为用普通的方式关不掉,得让IIS停止服务才会一同停止,只好强制关闭。为了让宇成追踪,云飞特地留下一部不动作,好藉此取样封包。
简德昌流着冷汗心想:‘宇成这家伙...还真大胆啊!’
究竟宇成的操作能传回梁品伦与毕示古的真实IP吗?...待续