第九卷 匹吐匹篇 257摧毁举证资料库
闇影七君与 BSL 躲在伺服器背后的战火延烧到了平民百姓身上,潘烈臣巧妙利用档案中的加壳木马回传 IP 资讯,并透过特殊管道取得 IP 用户资料,向各大学校园和各平民住家进发,查扣多部提不出版权证明的电脑,并准备起诉这些倒楣的家伙。
潘烈臣看着被举证的纪录单笑着说:‘很好,利用这些人打破普罗大众认为 P2P 和盗版下载不会查到自己身上的想法,可以快速而有效的阻止下载风气扩大。大家继续加油,我们要继续起诉更多人,让更多人知道这行为的严重性。’
一面起诉,BSL 又一面结合偶像明星拍摄一系列反盗版反下载反 P2P 的宣传广告,一时之间人人恐惧不已,下载与分享数量锐减,没有人知道再这么下去那一天会查到自己的头上来。潘烈臣并为对外公开黑暗工程师的存在,软体商们也懒得管潘烈臣是怎么做到的,总之盗版越少越好钱赚越多越好。
此时,一群名为小世民联盟的代表们来到台北极光求助。
任逍遥问道:‘请问你们是为了什么而来委托任务于我们?’
其中一代表表示道:‘是这样子的,我们怀疑最近大动作的起诉平民事件不单纯,跟我们一起来委托的那些学生们也有同样的想法。’
‘好久不见!’一个看似大学生的年轻男子走上前道:‘我是之前和你们委托过的学生代表,这次我们又有人遭到举发了。’
任逍遥点了点头后说:‘原来如此,你怀疑又是 BSL 的木马搞的鬼?’
学生代表那了一份自某论坛印出来的文章说:‘这次的情况更奇怪,我们有许多人都是自这个论坛点了某 ED2K 连结去下载后执行这个程式完就遭到起诉,我们也怀疑内情不单纯,可是因为所有电脑都被查扣,而且犯罪事实明显立即被逮捕,所以也没办法扫毒什么的。’
小市民联盟的人发言道:‘我们也有不少小市民因为诱惑而下载了这些档案,一跑完后商业软体联合会看检察官就登门拜访,现在都被抓了,所以我们真的也怀疑他们用非法的手法查验,尤其是听到这些学生代表所说的前例之后。’
任逍遥于是接下委托,并立即召开台北极光内部会议,宇成和天玄也赶来。
任逍遥说:‘这次的情况和之前不大相同,过去是针对宿舍网路散布病毒,但是这次被起诉的对象有千百种,彼此之间在现实中可以说是没有交集。’
任逍遥接着把投影片换到下一页后说:‘有交集的在于这几个 ED2K 连结,他们都是下载了这些档案后就受到起诉了。’
简德昌斩钉截铁的说:‘关键一定在档案里,他们一定又用相同的手法,只不过这次一改主动散布的做法换成被动下载。一定是利用了这样的档案,再让木马殖在里面一并执行,然后把讯息传回去的。’
任逍遥点头说:‘我也认为是如此!所以我们要先抓下一个档案然后仔细观察观察,准备好炎黄系统,把目标锁定在这个档案执行后的所有记忆体位址上,观察任何不寻常的变化,还有注意向外连线的封包!’
在任逍遥的指示下,分别由简德昌、庄胜哲、黄锦福针对三个不同的档案做分析处理。在简德昌的工作室里宇成已准备好炎黄系统针对记忆体锁定,并等待着档案下载完后立即执行观察。
此时任逍遥又说:‘你们三个谁最快分析出来这任务就交给谁处理吧!’
月雯此刻才急急忙忙的冲进简德昌的工作室中大喊道:‘太过份了,小宇,既然有事为什么都不通知我呢?’
辜雁容走到门口边微笑着关上门边说:‘哎唷,月雯妹子,像这样的技术你还没有能力应付啦,就算是天玄都不够能力呢!’
天玄不屑的在一旁嘘着:‘去,反正我和宇成比差很多就对了,是吧?’
众人闲谈了一会儿,宇成总算抓完了这个档案,并小心翼翼的执行。
简德昌在一旁叮嘱道:‘宇成,不可大意,我是对你有十足把握才放手把这事让你做的。你能不能独当一面,就看这一次了,别辜负我对你的期待。’
宇成满怀着自信回应道:‘嗯,我对我自己也有信心!’
小心的点选档案,也将炎黄系统的目标指定在这个执行档上,记忆体监控也一切就绪,网路连线防火墙也开到最严格限制,宇成轻轻的按下 Enter 键执行。
‘出现了!’宇成猛然注意到记忆体位址的变化,以及防火墙对外连线的请求,很明显这就是木马!木马在档案被执行的瞬间也同样执行,向 21x.14x.13x.2x 连线,似乎这就是木马的手段了。宇成立即把这个 IP 告知陆雅唯,并让陆雅唯扫瞄这个伺服器开启的 PORT 以及找出它的所在位置。
陆雅唯很快的扫完后回应道:‘这是一个位在中东的伺服器,或许又是一个中继伺服器,必需要侵入它才能确认这个伺服器的作用。’
宇成点头道:‘我知道了!另外,简医生,我可以确定这些档案都被刻意感染了加壳的木马,我现在就让炎黄系统加它去壳还原出来。’
简德昌点头,宇成这次的操作稳定而且迅速,这个木马的主体很快就浮现在萤幕上了,伪装成浏览器向位于中东的伺服器连线,连线的同时 IP 资讯等就一并传了过去,收到回应后就立即中断程式的执行。虽然看似简单而且只不过连线一次,但对于 BSL 而言如此的资讯已足够。
简德昌取得了木马本体和报告后说:‘很好,我现在就拿去给会长!’
果不其然,宇成替简德昌争取到了执这个委托任务的权力。得到了简德昌的授命后,宇成便和陆雅唯交换,开始积极的动作追查入侵。
月雯把天玄拉到一旁问:‘小宇他现在是要做什么啊?’
天玄说:‘就是入侵那个刚刚发现的伺服器啊!那个伺服器可能是本体也可能是跳板什么的,反正就是要一路追查下去就对了。’
月雯似乎明白的说:‘原来是这样子,这就是平时在极光的任务吗?’
天玄又开始自大道:‘嘿嘿,明昂走了后我就递补他的位子在执行任务,所以现在别小看我的实力喔,我也是可以独当一面的呢!’
陆雅唯、简德昌、辜雁容此时齐声摇头说道:‘没这回事!’
月雯此时忽然变成恶魔眼神的看着天玄说:‘该不会是你太愚蠢了拼命扯后腿所以才让云飞受不了而离开的吧?’
陆雅唯、简德昌、辜雁容此时再次齐声点头说道:‘有这个可能!’
‘不..不..’天玄感受到无比的的恐惧,退缩到房间角落,数秒后真实上演了一场女侠传说,可怜的天玄只有倒卧一旁了。
宇成不理会着后头的闹剧专心的攻击着:‘过去一直倚靠着云飞,这次我要独当一面的攻进去!不论如何,我都不能输给他,我必需要超越云飞,也要超越明昂,超越他们才能证明他们是错的!’
带着这股气势,宇成的萤幕上也很快显示出 PORT:8415 的漏洞,从这漏洞中放入木马后驱动 explorer.exe 带上木马名称的指令执行,顺利的透过木马取得了一些伺服器的连线资讯。
宇成分析了一会儿后发现了重点:‘没错,PORT:8956 和 PORT:9304 是关键,这两个埠口一直保持稳定的连向 20x.12x.13.6x,其他不断跳动的连线应该都是木马的回传资讯而已。好,把目标转向过去!’
如此一层一层的追踪下去,宇成入侵伺服器的时间也越来越短,寻找漏洞的直觉潜能快速成长,与其直觉形骇客的本能相乎应!
‘找到了!’终于在一个伺服器里,发现了庞大的资料库。宇成立即找来简德昌关注这个资料库,同时想办法取得进入资料库的权限。为求慎重,宇成先仔细的尝试了几个 SQL Injection,同时模拟中继传输封包,果然端口程式在判断上并没有局限来源 IP,意即宇成可以模拟成自中继伺服器发出的封包。
宇成进入资料库后大喜道:‘没问题,我已经有了 sysadmin 许可权,现在我马上就用 drop 把资料表删除掉,应该就能阻止 BSL 继续起诉了。’
然而宇成删除掉资料表的同时,另一个程式又立即将备份资料表恢复。原来 BSL 另外使用了一个外挂侦测资料表的破坏,现在得阻止这个程式的运作了。宇成转而尝试 xp_cmdshell,然而被关闭了起来。面对临门的一击,还差了点力。
宇成静下心来看着键盘:‘有办法,一定有办法的。有了,我就输入Exec master.dbo.addextendedproc ‘xp_cmdshell‘, ‘xplog70.dll‘; select count(*) from master.dbo.sysobjects where xtype=‘X‘ and name=‘xp_cmdshell‘,顺利的话就能利用回存预设状态重新打开 xp_cmdshell!’
这是利用恢复 MS_SQL_Server 的预设值衍生的技巧。此时回传值显示宇成的动作成功了,可以进逼下去!宇成接着取得权限:‘利用 net user 和net localgroup administrators 先搞一个帐号来玩玩,好,先利用 tasklist 查一下执行中的程式。有了,就是这个,好,用 tskill 中止,接着再把备份的档案与程式删除掉。’
在宇成的大动作之下,备份程式和所有资料档案都毁损掉,木马的回传值也全部无法写入,危机暂时解除。隔天,黑暗工程师读取资料库时才发现这个异状。
然而潘烈臣这样的动作也引起闇影七君不屑,发动了对 BSL 的攻击...待续
(幕后画面!黑暗工程师:‘奇怪,资料库怎么被删掉了?’白目工程师:‘去资源回收桶看看是不是在里面。’)