關于匿名者組織的瘋狂拿站和統(tǒng)一黑頁顯示時間的行為，相信大家已經(jīng)見怪不怪了，但是當匿名者組織開始侵略中國網(wǎng)站的時候，相信大家都坐不住了。首先，個人感覺反擊的意義何在，或者說究竟有沒有意義，筆者不是哲學家，思想家，不做過多探討。但是，知己知彼確實是必要的。筆者對前一段時間，國內地方GOV被瘋狂秒殺的一次行動做了一次沒什么技術含量的分析和猜想。

（以下敏感域名用WWW.XXX.COM略過）

首先，筆者登陸了FACEBOOK找尋了一些熱議的話題：

（以下為GOOGLE翻譯，英文不好，只好找谷大哥幫忙）

1.中國3000+政務工作網(wǎng)站 匿名者成功獲取權限

2.匿名者再次攻擊亞洲各國，宣傳獨立自由 在網(wǎng)絡中

3.亞洲強國網(wǎng)絡安全成為匿名者的擊打目標。

以上是通過匿名者為關鍵字模糊搜索的熱議轉載，基本每個熱議都指向匿名者發(fā)布新聞和預告信的推特，筆者只好繼續(xù)翻閱防火長城登陸推特，觀看了一些匿名者發(fā)布針對亞洲和其他洲的攻擊成果發(fā)布，評論中充斥著各種贊揚與羨慕，當然不乏我國人士（最大的悲?。?，當然，也有進行技術分析的人，有一條評論中帶有這樣一個域名：

www.xxseo.com（化名）

接著，筆者C段了一下：

IP：

XXX.XXX.XXX.200

XXX.XXX.XXX.201

XXX.XXX.XXX.202

XXX.XXX.XXX.203

XXX.XXX.XXX.204

XXX.XXX.XXX.205

以上IP全部指向中國某省級機房

OK，就這個IP段開始旁站掃描，得到無數(shù)四級域名：

XXX.host1068.xxxseo.com.cn

XXX.host1079.xxxseo.com.cn

XXX.host1081.xxxseo.com.cn

XXX.host1083.xxxseo.com.cn

XXX.host1093.xxxseo.com.cn

XXX.host1099.xxxseo.com.cn

相信看到這里，大家應該明白了些什么，當然筆者還是打開驗證了下

無一例外，全部是政務網(wǎng)站，各地GOV。

XXX.host1099.xxxseo.com.cn

都是IDC機房托管的分配四級域名，實際綁定是WWW.XXX.GOV.CN

筆者繼續(xù)掃描旁站，并導出所有URL（四級域名）

將導出的列表批量經(jīng)行綁定域名反查，得到實際綁定域名結果列表。

在工具經(jīng)行這些自動化掃描導出的時候，筆者繼續(xù)做著準備，將匿名者在推特發(fā)布的攻擊我國站點的列表下載了一份，可以不是文本，圖片質量又狂差，只能美圖秀秀去個霧（不會PS的傷不起），勉強看清了URL。

準備工作做完，手上有兩份列表，一份是掃描旁站得出的IDC C段的GOV站點 URL列表。

另一份是匿名者發(fā)布的攻擊我國站點公開列表。

然后筆者比對了一下，相信結果大家都猜到了。

IDC下的163個GOV站點，有112個在匿名者攻擊列表中，當然匿名者公布了3000+個。

好的，對匿名者每次行動的印象讓我立即從龐大組織的集體攻擊，變成了組織性的批量拿站。

這個時候，筆者又有了另一個猜想，即使是批量攻擊，整個C段也是要花時間的，于是筆者爬行了5個網(wǎng)站的目錄，BINGO，全中，居然是一模一樣的目錄結構，好的，原來是一個公司的業(yè)務?。〗y(tǒng)一的建站系統(tǒng)，統(tǒng)一的OA系統(tǒng)，統(tǒng)一的郵件系統(tǒng)，統(tǒng)一的VPN登陸遠程辦公系統(tǒng)，好吧，你贏了！

關鍵是，統(tǒng)一的后臺，統(tǒng)一的弱口令?。?！好吧，你又贏了，給GOV做網(wǎng)站業(yè)務，您就不能隨機生成密碼給管理員么！

有了這個驗證，筆者繼續(xù)猜想和驗證，如果這些服務器全部在自己手上，那把站點全部黑掉，集體掛黑頁是更輕松的了吧？是不是服務器本身就有問題呢？對這些IP經(jīng)行端口掃描，發(fā)現(xiàn)了都存在999端口，訪問后是……phpmyadmin？

好吧，空密碼不對，默認密碼也不對，筆者來到了這個強大IDC公司的官網(wǎng)，資料下載中有：PHPMYADMIN……一鍵部署程序？

好吧果斷下載下來，原來也是ZKEYS的程序，默認密碼 ROOT ZKEYS 好吧，現(xiàn)在100+臺政府公務服務器，完全可以用這個萬能鑰匙登陸PHPMYADMIN經(jīng)行SHELL導出了，然后提權……批量替換首頁么？

不用，匿名者只需將服務器IIS所有的域名指向一個有黑頁的ip就可以了。好吧，慘不忍睹……