TD发现盗版、短信警告的机制原理大揭秘!!(申请加精)
很多使用过TD2007的TX们都遇到过短信警告盗版的问题,很多人都在困惑不解,它是怎么知道的呢?有人说放在内网就没事了,或者在服务器上屏蔽他的网站就行了,真的有效吗?且往下看绝对原创:
<< TD发现盗版、短信警告的机制原理大揭秘!!>>
大家都知道“系统管理”中的最后一项“系统信息”,点击后会出现系统的相关信息,包括到网站验证序列号、查看网站公告信息等,很多人以为只要不点击那些链接可能就没事……是吗?
错!!通过网络监控可以发现,当你点击打开这个页面的同时,页面已经发送了往TD网站(211.144.136.73)的数据包,本人经过抓包粗略分析发现,开始时自己的机器会请求对方的80端口,三次握手建立连接后你的机器会毫不犹豫、迫不及待地向外发个大包,数据通信可谓是一来一往好不热闹啊。
大家最关心的肯定是他们都说的什么啊?从中挑一句最关键的给大家透漏一下先:
--------------
GET /dns/user_reg_info.php?REG_DESC=%5B%B2%D9%D7%F7+-+2007%B2%E9%BF%B4%CF%B5%CD%B3%D0%C5%CF%A2%5D%0A%0A%B0%E6%B1%BE%BA%C5%A3%BA3.1.070125%0A%D3%C3%BB%A7%CA%FD%A3%BA1%0AIE%B1%EA%CC%E2%A3%BA%BD%F6%B9%A9%B8%F6%C8%CB%B2%E2%CA%D4%CD%F8%C2%E7%D6%C7%C4%DC%B0%EC%B9%AB%CF%B5%CD%B3+%0A%D6%F7%BD%E7%C3%E6%B1%EA%CC%E2%A3%BA%D0%A1%C8%CB%B2%BB%D2%AA%BF%FA%CA%D3%CD%F8%C2%E7%D6%C7%C4%DC%B0%EC%B9%AB%CF%B5%CD%B3%0A%B5%A5%CE%BB%A3%BA%B8%F6%C8%CB%B2%E2%CA%D4%D3%D0%CF%DE%B9%AB%CB%BE%0A%B5%E7%BB%B0%A3%BA119-120-110%0A%B4%AB%D5%E6%A3%BA001-911%0A%D3%CA%B1%E0%A3%BA88888888%0A%B5%D8%D6%B7%A3%BA%D2%F8%BA%D3%CF%B5%CC%AB%D1%F4%C7%F2%B3%E0%B4%F3%B5%C088%BA%C5%0A%CD%F8%D6%B7%A3%BAwww.wc.com%0AEmail%A3%BA%0A&UNIT=%B8%F6%C8%CB%B2%E2%CA%D4%D3%D0%CF%DE%B9%AB%CB%BE&PORT=88 HTTP/1.0
======================
?????什么东东??
熟悉网页和编码技术的应该能看个大概了吧?真的看不明白?那就看这里:
------------------------
GET /dns/user_reg_info.php?REG_DESC=[操作+-+2007查看系统信息] 版本号:3.1.070125 用户数:1 IE标题:仅供个人测试网络智能办公系统+ 主界面标题:小人不要窥视网络智能办公系统单位:个人测试有限公司电话:119-120-110 传真:001-911 邮编:88888888 地址:银河系太阳球赤大道88号网址:
www.wc.com Email: &UNIT=个人测试有限公司&PORT=88 HTTP/1.0.. GET /dns/sn_check.php?SN=TD20F-1980629C-CLRD&UNIT=个人测试有限公司&PORT=88 HTTP/1.0TONGDA
===================
也就是说你的机器通过网页代码已经出卖了你!信息归纳整齐一点就是:
-------------------------
GET /dns/user_reg_info.php?REG_DESC=[操作 - 2007查看系统信息]
版本号:3.1.070125
用户数:1
标题:仅供个人测试网络智能办公系统
主界面标题:小人不要窥视网络智能办公系统
单位:个人测试有限公司
电话:119-120-110
===================================
这下知道TD怎么知道你的信息了吧?
那这个信息到底是由谁发出去的呢?服务器?客户机?服务核心程序还是页面文件?
下面来解释这个问题,我们这样来操作:在“系统信息”的界面上点鼠标右键,选择“查看源文件”,你会得到当前页面的htm源文件,注意看页面最后有一个隐藏的iframe:
<iframe src="...................." width=0 height=0></iframe>
其中的链接还是指向当前的页面,只不过带上了参数!
实际上当前的页面的这个文件:/general/system/reg_view/index.php可以接受两个参数:?check=1和?check=2,1用来向
网站发信息,2用来显示本机系统信息。自己可以在自己服务器上分别测试一下就会得到这样的结论了。
那么,在客户机上访问的时候会是什么情况呢?是服务器还是客户机向TD发这些信息呢?据我的测试,大家尽可放心,这都是在服务器上发的,否则,去封每个客户机就麻烦了……
如何不让它发这些信息呢?简单的保险方法就是把TD的网站屏蔽掉,但你会发现每次访问这个页的时候,半天不再响应,那时因为它一直在等待TD的回应;这种方法要是TD换了IP就不行了;也可以把这个页面文件直接替换掉,但不知道会不会出现别的问题,目前还没见哪位TX说有问题。
另外,到此为止,它还没有自动发送你的序列号给对方。
--------------------------------------------------------------------------------
书接上回,继续分析:
据我的监测,这一点TD做的还算大家风范,在你点击了“到网站验证的时候”,才发现发出了这样一个包:
"GET /dns/sn_check.php?SN=TD20C-19******-FDRL&UNIT=%B8%F6%C8%CB%B2%E2%CA%D4%D3%D0%CF%DE%B9%AB%CB%BE&PORT=88 HTTP/1.0"
大家应能看出来,意思就是把你的序列号、单位名称和端口号发给了TD,为什么要发端口号呢??对,就是要给后门做准备了!
接下来,TD会返回你是错误序列号的信息,并提示你的信息被记录等等,这些显示的内容都是从网站返回来的信息,其中大家最关心的最黑的就是这一句:
……<divalign=center><iframe src="http://www.tongda2000.com/inc/address.php" width=100% height=1000 scrolling="auto" frameborder="0"></iframe><iframe src="/inc/reg.php?MYOA_PASSWORD=qiqi&SMS=1" width=0 height=0></iframe>. </div>.<br><center><input type='button' class='BigButton' value='返回' onclick='history.back();'></center>.</body>.</html>.
大家看明白了吧?红色部分就是我们最关心的后门,以一个隐藏的iframe出现的!!关于这一点,其他文章已有说明,此不赘述。
这些数据是从服务器上抓包得到的,这样分析是技术性强了些,但可以弄清这些数据到底从哪里来的;感兴趣的TX可以自己抓包看看,比较简单的免费工具象Ethereal就不错,不过是E文的。
还有一种简单的方法让大家得到这些信息:在验证完后的界面上点鼠标右键,选择“查看源文件”,你也可以看到这些东东!
-----------------------------------------------------------------------------------
另一个问题:从客户机访问会怎么样呢?如果屏蔽了服务器,客户机上用不用屏蔽呢?
不知道有没有TX研究过这个问题?初步实践发现,大家不用担心这个问题,因为通过测试,在客户机上进行同样的操作时,客户机上并没有去访问TD的网站,而恰恰同时这个访问仍然在服务器上进行了!包括“查看网站公告信息按钮”、“通过网站验证……”等都是在服务器进行的。而只有“服务中心”是在客户机上进行的连接。
------------------------------------------------------------------------------------
最后一个问题:解决方法:
解决方法很多文章中都提过了,既然有TX问,那就一并归纳一下:
1.利用服务器的网络防火墙软件来屏蔽TD的IP,需要注意的是防止TD变化IP地址;
2.利用本机的Host文件屏蔽TD网站域名,需要注意的是防止TD变化域名;不行来个双保险,呵呵。
3.如果上面两招屏蔽后还出现警告短信,还有一个比较笨的但比较有效的终极绝招:就是利用代码,在每次读取短信信息之前查询一下数据库,看看有没有这条短信,有就把它删掉!虽然被动,但绝对有效,呵呵!!
********************************
(这可是我花了两天时间废寝忘食才研究出来的啊,支持一下啦 :)
[
本帖最后由零位空间论坛 zhouhuitong 于 2008-2-26 05:44 编辑 ]
