分享一下最近抓到一个灰产节点的经历

本人脚本小子,最近在研究各种蜜罐,无意中抓到一个会话

试着访问这个下载地址进去发现居然是个HFS,估计管理这个节点的也是一个打工吗喽脚本小子这也敢用,直接提权上传CS穿透一条龙,远程一看文件夹就有点幽默了

然后翻翻他们的文件看看,果然一个漏洞一个远控工具很典型
image

工具也很典,一个DDOS集群远控,一看还有不少的肉鸡在线


再翻一下漏洞文件夹,果然佛法加批量脚本,还有抓取的很多IP


一些脚本截图,佛法登录

又一个幽默的事,一个老的海康(我不是QAX)防火墙的任意执行漏洞,脚本的地址已经不可以下载了,脚本名字很嘲讽,看了下几个肉鸡果然都是防火墙的登录页

Zyxel 防火墙的批量

一个更幽默的,看来还很有觉悟

看了下登录信息,查了下IP,我们同时在线,是位辽宁的吗喽,感觉也不会是挂代理的


查了下脚本,然后关联的一些地址和域名基本都是那种HC颜色广告的网站



后面能力精力有限就没去往下细查了

后记
这台VPS配置E5 +32G+1T圣何塞,差点动了邪念想偷偷用起来,不过后来还是收手了,毕竟也不知道是不是也是一台肉鸡,中途偷偷踢了他RDP下线,故意做了个后门维持改了下密码,果然第二天IP端口都不通,可能发现跑路或者重装了吧。

大家记得别用HFS放到公网,设备该打补丁打补丁!

216 Likes

大佬很强,哈哈

2 Likes

点赞后顺便问下大佬,hfs是啥意思

1 Like

大佬太强了 :tieba_013:

有点厉害~~

image

3 Likes

吼~tieba_062

大佬还是厉害的

厉害了,大佬:+1:

HFS放到公网,是什么意思

1 Like

:+1:t2:强,大佬

1 Like

大佬 强啊 :grin:

不明觉厉,紫薯布丁

1 Like

就是别把HFS服务放到互联网可以访问,一打一个准

黑我服务器是吧,今晚别睡太死。 :tieba_006: :tieba_009: :tieba_025:

1 Like

还得是大佬。我感觉要是我就已经成为了肉鸡的一员。

1 Like

太谦虚了也 :tieba_025:

3 Likes

虽然不明觉厉,但是大佬很强!

2 Likes

出个教程指导一下 :nerd_face:

学习一下,鉴权还是挺重要的;我看不少比较强的密码的账号都能扫出来,整个人都不太自信了,只能加上2fa和限速了 :melting_face: