关于匿名者组织的疯狂拿站和统一黑页显示时间的行为，相信大家已经见怪不怪了，但是当匿名者组织开始侵略中国网站的时候，相信大家都坐不住了。首先，个人感觉反击的意义何在，或者说究竟有没有意义，笔者不是哲学家，思想家，不做过多探讨。但是，知己知彼确实是必要的。笔者对前一段时间，国内地方GOV被疯狂秒杀的一次行动做了一次没什么技术含量的分析和猜想。

（以下敏感域名用WWW.XXX.COM略过）

首先，笔者登陆了FACEBOOK找寻了一些热议的话题：

（以下为GOOGLE翻译，英文不好，只好找谷大哥帮忙）

1.中国3000+政务工作网站 匿名者成功获取权限

2.匿名者再次攻击亚洲各国，宣传独立自由 在网络中

3.亚洲强国网络安全成为匿名者的击打目标。

以上是通过匿名者为关键字模糊搜索的热议转载，基本每个热议都指向匿名者发布新闻和预告信的推特，笔者只好继续翻阅防火长城登陆推特，观看了一些匿名者发布针对亚洲和其他洲的攻击成果发布，评论中充斥着各种赞扬与羡慕，当然不乏我国人士（最大的悲剧），当然，也有进行技术分析的人，有一条评论中带有这样一个域名：

www.xxseo.com（化名）

接着，笔者C段了一下：

IP：

XXX.XXX.XXX.200

XXX.XXX.XXX.201

XXX.XXX.XXX.202

XXX.XXX.XXX.203

XXX.XXX.XXX.204

XXX.XXX.XXX.205

以上IP全部指向中国某省级机房

OK，就这个IP段开始旁站扫描，得到无数四级域名：

XXX.host1068.xxxseo.com.cn

XXX.host1079.xxxseo.com.cn

XXX.host1081.xxxseo.com.cn

XXX.host1083.xxxseo.com.cn

XXX.host1093.xxxseo.com.cn

XXX.host1099.xxxseo.com.cn

相信看到这里，大家应该明白了些什么，当然笔者还是打开验证了下

无一例外，全部是政务网站，各地GOV。

XXX.host1099.xxxseo.com.cn

都是IDC机房托管的分配四级域名，实际绑定是WWW.XXX.GOV.CN

笔者继续扫描旁站，并导出所有URL（四级域名）

将导出的列表批量经行绑定域名反查，得到实际绑定域名结果列表。

在工具经行这些自动化扫描导出的时候，笔者继续做着准备，将匿名者在推特发布的攻击我国站点的列表下载了一份，可以不是文本，图片质量又狂差，只能美图秀秀去个雾（不会PS的伤不起），勉强看清了URL。

准备工作做完，手上有两份列表，一份是扫描旁站得出的IDC C段的GOV站点 URL列表。

黑客组织Anonymous疯狂入侵中国站点思路分析

另一份是匿名者发布的攻击我国站点公开列表。

然后笔者比对了一下，相信结果大家都猜到了。

IDC下的163个GOV站点，有112个在匿名者攻击列表中，当然匿名者公布了3000+个。

好的，对匿名者每次行动的印象让我立即从庞大组织的集体攻击，变成了组织性的批量拿站。

这个时候，笔者又有了另一个猜想，即使是批量攻击，整个C段也是要花时间的，于是笔者爬行了5个网站的目录，BINGO，全中，居然是一模一样的目录结构，好的，原来是一个公司的业务啊！统一的建站系统，统一的OA系统，统一的邮件系统，统一的VPN登陆远程办公系统，好吧，你赢了！

黑客组织Anonymous疯狂入侵中国站点思路分析

关键是，统一的后台，统一的弱口令！！！好吧，你又赢了，给GOV做网站业务，您就不能随机生成密码给管理员么！

有了这个验证，笔者继续猜想和验证，如果这些服务器全部在自己手上，那把站点全部黑掉，集体挂黑页是更轻松的了吧？是不是服务器本身就有问题呢？对这些IP经行端口扫描，发现了都存在999端口，访问后是……phpmyadmin？

黑客组织Anonymous疯狂入侵中国站点思路分析

好吧，空密码不对，默认密码也不对，笔者来到了这个强大IDC公司的官网，资料下载中有：PHPMYADMIN……一键部署程序？

黑客组织Anonymous疯狂入侵中国站点思路分析

好吧果断下载下来，原来也是ZKEYS的程序，默认密码 ROOT ZKEYS 好吧，现在100+台政府公务服务器，完全可以用这个万能钥匙登陆PHPMYADMIN经行SHELL导出了，然后提权……批量替换首页么？

不用，匿名者只需将服务器IIS所有的域名指向一个有黑页的ip就可以了。好吧，惨不忍睹……

转帖自：http://netsecurity.51cto.com/art/201301/378034.htm

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)