极光骇客-第137部分

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　　‘知道了！’所有守天多媒体特务成员应声，甘海墨也随他们行动。　
　　在台北极光里，由特务成员发动的第一波攻势，具有不同目的的封包已经来到网咖营业区的网路之内。郭仑新与部分成员开始他们的防制动作，严密坚控sniffer软体里封包的流动概况。果然，第一波的目标是抢滩行动，大量扫瞄漏洞的资讯传递在极光与守天多媒体之间，目标就是找到漏洞殖入木马。　
　　郭仑新紧盯着各个开启的PORT心想：‘没有用的！我们修补了每个已经公开的漏洞资讯，你们是攻不进来的，除非你们也掌握住未被公开的漏洞。’　
　　甘海墨测试了一些被公开的漏洞后想：‘嗯．．．这些有公开的漏洞他们在第一时间都已经更新过了，这样是无效的。好，那我就改变成使用溢位攻击，在你的区域连结请求系统中夹带长指令试试看。’　
　　区域连结请求系统是极光网咖内的一种自动更新系统，因应线上游戏的快速更新，极光设计了一套让网咖客人操作到更新档时自动连结到区网上优先搜寻的系统，如果有便先从区网内部抓下来。　
　　甘海墨在区域连结请求系统后面带的命令中输入一大串字，尝试让溢位命令得以执行内部向外的FTP请求，但必需先猜测到系统安装位置。一般而言，系统预设安装在C槽的WINDOWS目录下，但郭仑新设定到E槽的WXP目录。甘海墨的行动便这么展开了，开始不断测试夹带命令与猜测目录位置。　
　　任逍遥在机房则指示道：‘A机组是Windows系统执行ASP，B机组是Linux或FreeBSD系统执行PHP，C机组则是CGI与JSP，这些就拜托你们了。剩余的FTP/TELNET/MAIL　Server等专属伺服器组由我亲自监控，你们不用担心。’　
　　宇成和云飞配合简德昌守护A机组，少了明昂虽然让战力折损许多，但其他人必需支援秦天罡与会长，在这个时间点人力有限，也没有办法多调度人了。　
　　秦天罡怒道：‘可恶，网咖区好像已经开始了，我们还没来吗？’　
　　马智风和符峰青没让秦天罡失望，是第一个攻击机组的成员。配合他们操作炎黄系统的是雷备天，第一段攻击便有三十二个IP进行攻击，这当然是马智风和符峰青各利用了十六个代罪羔羊进行的攻击。　
　　秦天罡的手下必需不断从与伺服器通讯的封包中找出攻击行动的IP，但是这毕竟是对外开放的伺服器主机，攻击者的IP会混合在一堆正常连线IP中。撇除HTTP通讯协定后可以确认大部份的连线是有问题的，然而这些连线早已传输了不该存在的木马进入主机，企图感染Apache伺服器软体，对HTTP协定中特殊的URL编码资料提取出来，成为一种木马沟通管道。　
　　符峰青笑着操作一个看似一般网页表单元件的木马软体说：‘你看，我们从香港连线过去不算慢嘛！我已经成功将yelio木马殖上四部Linux主机了，不过BSD系统老是挂不上去，真是麻烦。’　
　　马智风不屑的说：‘哼，看来我们BSD版的yelio木马并不怎么行，我也只殖上三部Linux主机而已，只好针对这几部Linux做攻击，BSD就暂且放过。’　
　　秦天罡检视着传输资讯说：‘监控Linux主机的要小心了，我怀疑已经有某些木马程式被殖入了，这几部主机有着一些相同而且奇怪的URL编码在传送着，IP来自于这几个xxx。xxx。xxx。xxx，你们刚刚对这些IP有查到什么吗？’　
　　一个人举手道：‘报告！我刚刚曾经有截到过这个IP位置xxx。xxx。xxx。xxx对PORT：22进行资料流动，不过那个应该是SSH加密很安全才对啊．．．’　
　　另外几个人也说：‘我也有看到！’‘我的也是！’‘太奇怪了！？’　
　　秦天罡摇摇头说：‘对手是天守，他们有什么样的能力我们不知道，或许他们早就侦测到我们的SSH连线有漏洞在。’　
　　雷备天则说：‘快点把你们刚才的IP给我，我要向它反追踪！这些IP一定不是他们的真实IP，我得用炎黄系统尽快查出上游来源。’　
　　几个人忙着将IP告知雷备天，然而马智风和符峰青已经设定好暂停连线了。他们的安全系统相当完全，虽然每人有十六个IP，但它们会轮流将这些IP暂停使用，也就是设置代罪羔羊的同时加了时间参数。这些羔羊除了第一次外，可以设定反向连线时间，比如10：00到10：03由A羔羊连线，10：03到10：06由B羔羊连线，只要事先规划好连线时间，就可以每三分钟跳一次IP，而当为方掌握住攻击IP反追踪时，大多超过了三分钟的连线时间而断线，因此查不出源头。　
　　秦天罡果然发现到了新的IP传递奇怪的URL编码，愤怒的想：‘可恶啊．．．这么短的时间要追查上游实在有点困难，而且这些URL编码我还找不出可以过滤掉的规则，我得再集中我的精神与逻辑能力去判断！’　
　　为了追求反制能力，秦天罡不断的利用他的逻辑能力试图分析出有可能的规则，这是他身为骇客的自觉，他不能输给对方的程式。　
　　同样辛苦的雷备天想着：‘真是可恶啊．．．这么多的IP，还在不断增加，对方到底预藏了多少个跳板？我得继续测试！该死，如果是Proxy就不会这么麻烦了，可以直接请求原始IP，但这种跳板程式太难往上追了，就算是炎黄系统的能力也一样，总不能每个伺服器都强行侵入吧？’　
　　在这个时刻，简德昌所守护的A机组也被梁品伦和毕示古进行猛烈的突击动作。由于WINDOWS相对于其他作业系统是漏洞较多的，也是梁品伦与毕示古经常在研究的系统，因此他们熟知一些IIS不为人知的漏洞。　
　　毕示古问道：‘如何呢？yelio木马的Windows　IIS版应该很容易殖入吧？’　
　　梁品伦则说：‘虽然如此，不过我个人还是喜欢DDoS攻击，那种把频宽塞满的饱足与充实感，实在是人生的一大快感啊！’　
　　毕示古邪笑几声说：‘嘿嘿嘿，我们的任务是让他们服务不正常，但更重要的是牵制周宇成和蓝云飞的行动，还是用yelio与他们玩玩吧！’　
　　目前天守所开发的yelio还是以Apache为主，IIS是后来Windows版新增的支援感染项目。利用IIS的Overflow漏洞，yelio被殖入了。　
　　‘不好了！’宇成直觉道：‘IIS服务被侵入了木马，我得快速查出是什么东西！’　
　　按照何智言先前所教，宇成输入tasklist　/m　/fi命令找出了一个名为inetylo。dll以及yelio。dll这两个DLL档可能有问题，而云飞也有所发现。　
　　云飞说：‘我输入　tasklist　/m　inetylo。dll　与　tasklist　/m　yelio。dll后发现它们都指向一个ect。exe，这个程式可能是它的根基所在！’　
　　宇成问道：‘你有抓到ect。exe的位置吗？’　
　　云飞说：‘它在system32目录下，同时用tasklist去看这个程式会发现它还另外用上了其他五个DLL档，而这些DLL档名似乎是被传进来的。’　
　　简德昌此时说：‘你们猜的没有错！这些DLL档都是因为IIS的一个Overflow问题而被夹带进来的，我刚刚和秦天罡他们问了一下，yelio似乎是一种感染WEB伺服器软体后对特殊的URL编码产生一种识别命令的动作，感染后操作者可以利用浏览网页的方式直接在网址后面加上命令参数以指示木马动作。’　
　　宇成怒道：‘可恶！简医生，让我来操作炎黄系统反攻回去吧？’　
　　简德昌说：‘先别心急，你们就专心对付敌人，IP的事我来帮你们。要找到对方的真实IP，我们才可以进行反制动作啊！’　
　　宇成笑道：‘你一定不熟操作炎黄系统吧？其实它可以利用其他方式反追踪喔！’　
　　简德昌惊讶道：‘这是真的吗？我完全不知道炎黄系统还有这种用法。’　
　　宇成卷起袖子说：‘我用给你看吧！’宇成决定大胆使用强力入侵的方式，这是雷备天所不敢使用的方式，毕竟这相当冒险。利用特别的traceroute能力，取样一个封包后在里面加入炎黄系统特别的资讯，再释放它回到原IP去。原本应该查询到代罪羔羊为止，但配合炎黄系统的漏洞入侵，只要事先殖入一个小程式运作，让它分析到处理有炎黄系统特殊记号封包的程式并抓住跳板程式回传的位置，就可以追查到上游的操纵者。然而，为了快速侵入与资讯流通必需打开自己的防火墙，若对方直接攻击这部主机也有完蛋的可能。　
　　宇成离开后，云飞便快速的利用　ntsd　–c　q　–p　指令关掉各部主机上的ect。exe程式，因为用普通的方式关不掉，得让IIS停止服务才会一同停止，只好强制关闭。为了让宇成追踪，云飞特地留下一部不动作，好藉此取样封包。　
　　简德昌流着冷汗心想：‘宇成这家伙．．．还真大胆啊！’　
　　究竟宇成的操作能传回梁品伦与毕示古的真实IP吗？．．．待续　
　
　
　
　　
　第六卷　移星换月篇　第四十回（１９０）玩弄天守的狠角色
　
　　暂时解决完恼人的yelio木马，云飞说：‘右御使大人训练我们果然没错，天守很会玩这种夹带感染相生相克的病毒。’
　　而这时，宇成已经追踪到了梁品伦的IP源头，并对该IP扫瞄了一下，发现有一个PORT是以传输协定工作。使用yelio木马，基本上容易被视为浏览器软体以传输协定与伺服器沟通，但宇成发现梁品伦的电脑只有一个PORT是在做这件事，便可以猜出这是yelio所用的PORT。
　　宇成兴奋道：‘好，就让炎黄系统看看你的这个PORT有没有漏洞存在吧！’
　　启动超级攻击模式，炎黄系统进入满载运算。由于搭配炎黄系统的关系，除了平行辅助模组电路外，这部机器也是用AthlonFX…55等级的CPU，因此炎黄系统得到了良好的运算能力，很快的查探出了漏洞。宇成提取了一些木马的模组档，尝试让炎黄系统利用这些木马模组产生适合这个漏洞的木马。经过了约十分钟左右，木马完成了，加了两层壳后便被炎黄系统自度殖入梁品伦的电脑内。
　　宇成兴奋的说道：‘简医生、云飞，我已经丢入一个炎黄系统产生的木马，vh836b进去了，我马上就让他们停止攻击。’
　　简德昌却说：‘不，先不要中止他们的行为，我和云飞还能够挡住他们对伺服器的破坏。你先尝试从他们的电脑内部找些有用的资讯出来。’
　　宇成试了试说：‘我看看．．．有了，这支木马可以让我们执行指令！’
　　简德昌便说：‘你先扫一下他的区域网路看看好！’
　　宇成输入view后，在相同群组下只有毕示古的IP被发掘出来。简德昌决定让宇成寻找他们的yelio控制端软体，以便到时加以使用。宇成再输入tasklist/svc查看梁品伦的执行中所有程序，直觉yelio。exe（其实也很明显？）便是控制端的软体，先纪录下来它的PID再说。
　　简德昌问：‘你有找到了什么吗？’
　　宇成说：‘我发现了另一个使用者，我想他也在使用木马攻击我们的伺服器，应该就是这两部电脑攻击我们的机组。’
　　简德昌说：‘扫描那个IP，将vh836b木马也殖入第二个家伙的系统中！’
　　由于是同样的软体，宇成很顺利的殖入，并等待简德昌的命令行事。
　　在C机组部分，右御使何智言一个人独守这个机组，而费比伟和裘安琪也正对着他发动攻击，用的是相同的yelio木马程式。
　　何智言笑了笑说：‘不错嘛，天守的家伙，你们还想出这种木马程式。不过，你们找错人了，这对我是没有任何用的。’
　　不论费比伟和裘安琪怎么想要攻入，总是会被何智言给挡下来，好不容易殖入的木马也完全没有办法建立连线，因为何智言已经找出隐藏在URL编码中的讯息，一眼便可看出这规则进行过滤工作。
　　费比伟不安的说：‘可恶．．．这次要我们支援梁品伦他们，我本来还以为首领脑筋有问题，对极光骇客的一个地区就要派出六个人，太小题大作了！不过这次的对手的确不简单，我们好像还没有遇过这么久还无法顺利执行yelio的电脑。’
　　裘安琪笑道：‘哈，往好的方面想，也许我们捕的鱼群是最大的！’
　　费比伟和裘安琪开始对这个机组的伺服器采取回圈战术，在这之中的六部伺服器是可以殖入yelio执行的系统，他们便三个为一组，开始以回圈的方式变换攻击的对象，每一个伺服器换一道溢位方式或是系统漏洞，想要用疲劳方式对抗守护这个机组的所有人，然而这里就只有何智言一个人而已。
　　何智言笑了一声心想：‘用这种方式想让管理人员喘不过气来吗？不过你们的攻击手法已经被我视破了，你们想攻击的目标我也早就防堵住了，别