駭客入侵事件簿3

因為我們的縣網擋掉 6667，結果剛好使得他們的後門失去作用。

經過檢查，httpd 果然是 iroffer 的設定檔，他讓這個 server 自動連往以下的 irc server

server 207.36.47.119 6667
server irc.rizon.net 6667
server irc.rizon.org 6667
server 69.22.163.105 6667
server 69.56.199.206 6667
server 69.56.199.206 6670

並且加入這個 channel：

channel #ReVoLuTiOn -plist 45

加入 channel 的時候，使用的是這個身份：

user_nick Rev|JeV|86
user_realname By JyV
user_modes +ix
loginname eXpLoIt

我當然就用了 IRC 軟體連入那個 channel，果然發現他們的大本營。
我們的系統成為一個分享檔案的伺服器，這個集團用被入侵的機器放各種 DVD 影片、MP3、遊戲等等資源在上面，你只要在那個 channel 裡面對後門下個指令，該後門就會自動把你要的東西丟給你。

我又循線查到這個網站： （我剛剛上去網頁已經被拿掉了）
http://utenti.lycos.it/buyo3/

從這個網頁顯示的資訊，可以推論出他們是義大利籍的集團，（都用義大利文咩，網址也是 .it）這個網頁列出所有的資源，真的是蠻可怕的，至少有幾百 GB 的東西分享在上面，而且下載速度都很快。

你找到自己想要下載的東西之後，只需要在在 IRC channel 中下指令：

/msg ReV|DivX|214 xdcc info #19 （可以查 214 這個後門裡的第 19 號檔的資訊）
/msg ReV|DivX|214 xdcc send #19 （下載第 19 號檔）
/msg ReV|DivX|214 xdcc remove (還沒試）

他們也許嫌 irc 有點麻煩，所以還寫了專用的工具：
http://www.over-software.net/revolution/ （誰可以幫我翻譯義大利文啊？）

檔案搜尋引擎：
http://ircspy.com/directory.asp?mode=showbots&networkid=159&channelid=17440

Comments

comments