Author:360天眼安全實(shí)驗(yàn)室

(資料圖片僅供參考)

0x00 引子

人在做，天在看。

黑產(chǎn)乃法外之地，被叢林法則所支配。沒(méi)有了第三方強(qiáng)制力量的保障和監(jiān)督，在那個(gè)圈子里我們可以看到兩個(gè)極端：想做大生意的往往極重信譽(yù)，而那些只想撈一票就走的則會(huì)肆無(wú)忌憚地黑吃黑。

2015年12月中，360天眼實(shí)驗(yàn)室發(fā)布了“網(wǎng)絡(luò)小黑揭秘系列之黑色SEO初探”，簡(jiǎn)單揭露了下網(wǎng)絡(luò)上的黑色SEO活動(dòng)，同時(shí)也提到了很多黑客工具中帶有后門，其中就包括了某些使用面非常廣的工具。沒(méi)錯(cuò)，這回我們的主角是小黑們最喜聞樂(lè)見的中國(guó)菜刀。

0x01 中國(guó)菜刀

菜刀，廚房切菜之利器，亦可用于砍人。中國(guó)菜刀(China Chopper)亦是如此，它是一款支持多種語(yǔ)言的非常優(yōu)秀的WebShell管理程序，可用于正常的網(wǎng)站管理，亦可以用于非法控制管理他人網(wǎng)站，總之是站長(zhǎng)居家旅行助手、黑客殺人越貨利器。據(jù)說(shuō)作者是一退伍軍人，國(guó)內(nèi)有人寫了簡(jiǎn)評(píng)并借鬼仔’s Blog【1】發(fā)布，國(guó)外亦有FireEye【2】寫了詳細(xì)的剖析報(bào)告。

通過(guò)360云安全的大數(shù)據(jù)查看菜刀官網(wǎng)(www.maicaidao.com)的站點(diǎn)數(shù)據(jù)，官網(wǎng)在2014年的12月份發(fā)布caidao-20141213（www.maicaidao.com/caidao-2014…）版本之后沒(méi)幾天，就停止下載并且關(guān)閉了網(wǎng)站（域名IP曾一度指向了GOOGLE.COM），關(guān)站的誘因可能是因?yàn)镕reebuf上發(fā)了一篇名為“強(qiáng)大的網(wǎng)站管理軟件 – 中國(guó)菜刀20141213新版發(fā)布”的介紹文章配【3】。雖然中國(guó)菜刀的官網(wǎng)早已關(guān)閉，但好東西自有它的生命力，從某種意義上說(shuō)中國(guó)菜刀已經(jīng)是一個(gè)品牌甚至用現(xiàn)在最火的概念來(lái)說(shuō)已經(jīng)成為一個(gè)IP，官方的支持不再重要，自有人來(lái)維護(hù)傳播它，當(dāng)然，也包括了里面夾帶的私貨——也就是后門。

0x02 樣本分析

其實(shí)，之前已經(jīng)有很多人寫過(guò)中國(guó)菜刀的后門，本文無(wú)意再作重復(fù)，以下主要對(duì)采用“db.tmp”模式的后門做下簡(jiǎn)要的分析。

通過(guò)對(duì)收集到的大量樣本進(jìn)行分析，發(fā)現(xiàn)這些帶有后門的中國(guó)菜刀都基本上通過(guò)修改原版的某些特征來(lái)繞過(guò)“安全狗”等Web安全防護(hù)軟件，同時(shí)修改PE的導(dǎo)入表引入一個(gè)動(dòng)態(tài)鏈接的后門模塊。為了通過(guò)迷惑用戶而不被發(fā)現(xiàn)，將后門的名字偽裝成數(shù)據(jù)庫(kù)的臨時(shí)文件，也就是“db.tmp”，因?yàn)椤爸袊?guó)菜刀”的默認(rèn)數(shù)據(jù)庫(kù)文件名為“db.mdb”。

caidao.exe文件MD5: baad97c73aee0207e608c46d0941d28b

對(duì)“db.tmp”進(jìn)行匯總分析，發(fā)現(xiàn)PE文件時(shí)間戳是偽造的，也就無(wú)法通過(guò)這個(gè)屬性進(jìn)行分類。根據(jù)文件大小大致能分成兩個(gè)版本：一個(gè)32K大小的早期版本，另外一個(gè)36K大小的改進(jìn)版本。兩個(gè)版本的實(shí)際功能都差不多，使用VB6編寫，通過(guò)對(duì)這些文件進(jìn)行二進(jìn)制比較確認(rèn)相同版本的文件大小相同而后門地址不一樣，應(yīng)該是有使用模版生成器來(lái)進(jìn)行生成。

對(duì)“db.tmp”進(jìn)行反匯編分析，發(fā)現(xiàn)帶后門的菜刀會(huì)針對(duì)抓包軟件進(jìn)行行為隱藏，當(dāng)發(fā)現(xiàn)系統(tǒng)中有以下進(jìn)程的時(shí)候不執(zhí)行后門行為動(dòng)作，使其逃過(guò)可能的監(jiān)視。

通過(guò)循環(huán)讀取mdb數(shù)據(jù)庫(kù)中的SiteUrl的值并進(jìn)行判斷，排除“http://www.maicaidao.com/”（目的是為了排除中國(guó)菜刀默認(rèn)生成的示例信息）后繼續(xù)讀取SitePass、nCodePage、Config字段值，最后和程序中所配置的后門地址“http://cd.myth321.com/index.asp||||||||”進(jìn)行拼接，發(fā)送數(shù)據(jù)完成Webshell信息的上傳。

0x03 傳播手段

樣本本身從技術(shù)上其實(shí)沒(méi)多少可說(shuō)的，保證效果真正的手段是其傳播方法，這個(gè)決定了后門操盤手能最終收割多少。以下是我們確認(rèn)的一些傳播渠道：

1、SEO優(yōu)化

在手上有大量的Webshell之后，后門菜刀的幕后操刀手可以很方便的利用這些Webshell將自己的網(wǎng)站SEO到一個(gè)比較理想的位置。在某搜索引擎的第一頁(yè)結(jié)果中，我們可以看到除了推廣鏈接排名在第一位，第二位和第三位都是SEO上去的假官網(wǎng)。

我們將仿冒的官網(wǎng)域名列舉如下，基于360的大數(shù)據(jù)統(tǒng)計(jì)了2015年12月07日至16日共計(jì)十天的PVUV訪問(wèn)量，從數(shù)據(jù)來(lái)看SEO還是有些效果的。

2、購(gòu)買搜索引擎關(guān)鍵詞

大家是否還記得2012年年初，曾有人在某搜索引擎中購(gòu)買putty、winscp、SSHSecure等ssh工具的關(guān)鍵詞，使很多人通過(guò)該引擎搜索時(shí)點(diǎn)擊了推廣鏈接，跳轉(zhuǎn)到所謂的中文網(wǎng)站并下載運(yùn)行了包含后門的中文版工具，該后門會(huì)將用戶連接過(guò)的服務(wù)器IP地址、端口號(hào)、用戶名及密碼上傳至“l(fā).ip-163.com”這個(gè)網(wǎng)站，事情曝光后有白帽子在第一時(shí)間通過(guò)技術(shù)手段發(fā)現(xiàn)該服務(wù)器已經(jīng)使數(shù)千人中招，甚至包括某些國(guó)際大廠的員工。“中國(guó)菜刀”這么受歡迎的工具，如果SEO效果不好，購(gòu)買搜索引擎關(guān)鍵詞進(jìn)行推廣是一個(gè)比較理想的高效推廣手段。經(jīng)過(guò)簡(jiǎn)單的測(cè)試，發(fā)現(xiàn)這些帶有后門的“中國(guó)菜刀”在某搜索引擎上，買了至少以下三個(gè)關(guān)鍵詞“過(guò)狗菜刀”、“中國(guó)菜刀”和“XISE”進(jìn)行推廣。

3、通過(guò)一些黑客論壇進(jìn)行發(fā)布

在不少論壇或黑客組織中，都有收集整理黑客工具并打包發(fā)布的傳統(tǒng)，這些都是腳本小子的最愛(ài)。針對(duì)這些帶后門的中國(guó)菜刀進(jìn)行追蹤溯源，發(fā)現(xiàn)很多都是通過(guò)黑客工具包進(jìn)行傳播的，我們整理了一份不完全的名單——這些帶有后門的中國(guó)菜刀被有意或者無(wú)意加入了這些工具集合中。

4、通過(guò)QQ群、論壇等特定的圈子進(jìn)行傳播

很多黑客的成長(zhǎng)，要么是自己觀看他人的教程然后依樣畫葫蘆學(xué)習(xí)，要么是有老司機(jī)帶路甚至是手把手的教。在這個(gè)過(guò)程中，這群人總會(huì)在某個(gè)地方形成一個(gè)圈子，QQ群也好，論壇也罷，收費(fèi)的也好，免費(fèi)也罷。但這些圈子可能并不純粹，老司機(jī)有可能也是個(gè)半桶水，或者在教的過(guò)程中故意留一手——因?yàn)槲覀儼l(fā)現(xiàn)有不少教程中所附帶的工具包也是帶有后門的。以下是幾個(gè)例子：

0x04 中國(guó)菜刀的背后

網(wǎng)站安全概況

透過(guò)傳播手段，我們可以看到“中國(guó)菜刀”在中國(guó)的流行程度。而中國(guó)菜刀的流行也同國(guó)內(nèi)網(wǎng)站的安全性相關(guān)。讓我們先看看《2015年中國(guó)網(wǎng)站安全報(bào)告》【4】中的一段數(shù)據(jù)：

正因?yàn)橛写罅康木W(wǎng)站存在漏洞，所以有大量的自動(dòng)漏洞掃描及入侵工具。使用中國(guó)菜刀來(lái)對(duì)這些Webshell進(jìn)行批量管理，小黑們可以非常愉快地執(zhí)行惡意SEO、掛黑鏈、掛黑頁(yè)等活動(dòng)。

惡意SEO 惡意SEO后門是指針對(duì)網(wǎng)站服務(wù)器加載惡意SEO代碼，從而借正規(guī)網(wǎng)址域名實(shí)施搜索引擎優(yōu)化或誘導(dǎo)欺詐。掛黑鏈 掛黑鏈?zhǔn)侵竿ㄟ^(guò)篡改原網(wǎng)站相關(guān)頁(yè)面數(shù)據(jù)，植入可見或不可以頁(yè)面代碼元素，從而達(dá)到惡意SEO（即黑帽SEO）的目的。掛黑頁(yè) 掛黑頁(yè)是指通過(guò)篡改原網(wǎng)站的頁(yè)面或增加頁(yè)面，在這個(gè)頁(yè)面實(shí)現(xiàn)釣魚的行為。如下圖就是通過(guò)在正規(guī)網(wǎng)站中，植入偽裝成“網(wǎng)游交易門戶”的欺詐頁(yè)面。

通過(guò)對(duì)中國(guó)菜刀后門的逆向分析，從樣本中提取了幾個(gè)典型的后門箱子鏈接，由此獲取這些箱子是個(gè)挺簡(jiǎn)單的事，統(tǒng)計(jì)發(fā)現(xiàn)數(shù)據(jù)還是很驚人的。數(shù)據(jù)如下表：

以“c.qsmyy.com”后門地址為例，一共下載回來(lái)639個(gè)后門箱子，里面共有67864條Webshell，對(duì)這些Webshell進(jìn)行消重后仍有24111條結(jié)果，平均每個(gè)箱子中有38條Webshell，其中，箱子日期越新的Webshell，訪問(wèn)成功的概率越高。

而“www.cnxiseweb.com”這個(gè)后門地址就更恐怖了，后門箱子的數(shù)據(jù)每天都會(huì)進(jìn)行日清處理，所以我們只能下載到當(dāng)天幾個(gè)小時(shí)的數(shù)據(jù)，而這幾個(gè)小時(shí)的數(shù)據(jù)就高達(dá)321條Webshell，消完重后仍有317條Webshell，所有這些也基本反映了國(guó)內(nèi)Web網(wǎng)站的安全狀況

假冒網(wǎng)站溯源

所有讀過(guò)360天眼實(shí)驗(yàn)室以前文章的同學(xué)們都應(yīng)該知道，技術(shù)的分析和數(shù)據(jù)的統(tǒng)計(jì)大多只是開胃菜，正餐往往在后頭，讓我們來(lái)追追菜刀后門的操盤手們。

www.maicaidao.co釣魚站溯源

http://www.maicaidao.co是仿造菜刀官網(wǎng)（www.maicaidao.com）的網(wǎng)站之一，其所提供的菜刀下載鏈接（http://www.maicaidao.co/FileRecv/20141018.zip）是帶有db.tmp后門的，為了提高逆向分析難度，還使用了VMProtect加殼軟件加殼保護(hù)。

從公開的whois信息顯示，[email protected]，同時(shí)，該郵箱同時(shí)還有注冊(cè)“maicaidao.me”這個(gè)域名。安全圈的朋友們一看這個(gè)郵箱，應(yīng)該并不陌生，沒(méi)錯(cuò)這個(gè)郵箱的主人正是某sec組織的成員之一，接下來(lái)的我們就不多說(shuō)了，有興趣的可以自己去挖挖。

www.maicaidao.cc釣魚站溯源

www.maicaidao.cc這個(gè)釣魚站因?yàn)橛蛎^(guò)期已經(jīng)打不開，但在過(guò)去的一年沒(méi)少傳播，通過(guò)whois查詢可以知道站長(zhǎng)的郵箱為 [email protected]

通過(guò)QQ群關(guān)系社工庫(kù)，我們可以看到如下信息。

而在這個(gè)QQ號(hào)的空間相冊(cè)中，還能看到其炫耀的入侵網(wǎng)站截圖。

當(dāng)然，其QQ空間還有個(gè)人生活、學(xué)習(xí)的照片。

這些照片顯示，其在廣州的傳智播客學(xué)習(xí)過(guò)。通過(guò)QQ號(hào)查找，發(fā)現(xiàn)其有使用微信，基本可以確認(rèn)此QQ號(hào)為主賬號(hào)。

更多社工就此打住，貼個(gè)天眼的可視化關(guān)聯(lián)平臺(tái)里的關(guān)系圖來(lái)總結(jié)一下www.maicaidao.cc這個(gè)釣魚站。

guogoucaidao.com釣魚站溯源

http://www.guogoucaidao.com這個(gè)釣魚站的主打是“最新專版過(guò)狗菜刀，過(guò)目前最新版V3.4.09060安全狗！”，在該釣魚站的第二篇文章（http://www.guogoucaidao.com/?post=2）有所謂的過(guò)狗菜刀下載鏈接（http://www.guogoucaidao.com/content/uploadfile/201509/1cae1442556699.rar），但這個(gè)鏈接的中國(guó)菜刀是含有后門的，經(jīng)分析后門地址為s.anylm.com。

whois信息，[email protected]，1296444813這個(gè)QQ號(hào)在搜索引擎中有不少記錄，包括為暗影聯(lián)盟站長(zhǎng)的身份，后門地址s.anylm.com也正好是暗影聯(lián)盟的拼音。

通過(guò)百度貼吧，可見其“出售刷鉆平臺(tái)ok”的ID，在該ID下有不少關(guān)注的貼吧，其中幾個(gè)都是獨(dú)立創(chuàng)建的，還曾做過(guò)卡盟供貨商，在搜索引擎中還能找到暗影卡盟的相關(guān)信息。

在某個(gè)社工庫(kù)里，我們找到了這個(gè)QQ號(hào)背后的郵箱[email protected]及密碼。順著這條線索，找到了更多身份信息。

在某商城發(fā)現(xiàn)了其購(gòu)買“黑客攻防入門與進(jìn)階（附贈(zèng)DVD-ROM光盤1張）”的訂單記錄。

通過(guò)132****5891這個(gè)手機(jī)號(hào)能夠找到通過(guò)實(shí)名驗(yàn)證的支付寶賬號(hào)。

好了，更多的東西就不再深入了，感興趣的同學(xué)們可以繼續(xù)深挖。用一張?zhí)煅鄣目梢暬P(guān)聯(lián)平臺(tái)里的關(guān)系圖來(lái)結(jié)束此次追溯之旅。

tophack.net釣魚站追蹤及溯源

在分析一個(gè)后門地址為43.249.11.189的 IP服務(wù)器的時(shí)候，匯總了以下三個(gè)帶后門的中國(guó)菜刀的下載地址：

1pl38.com/chopper.ziptophack.net/chopper.zipaspmuma.net/chopper.zip

其中tophack.net的whois信息顯示站長(zhǎng)的QQ號(hào)為595845736，其信息如下：

比較高調(diào)的一個(gè)小黑客，在QQ空間中還有留有入侵網(wǎng)站的截圖。

通過(guò)搜索引擎，能找到好多關(guān)于這個(gè)QQ號(hào)的負(fù)面評(píng)價(jià)。

這些信息表明，該QQ號(hào)主人在2011年就已經(jīng)從事黑產(chǎn)相關(guān)的違法交易，行事高調(diào)且聲譽(yù)不好。另外，QQ簽名顯示，目前正在做“鴻發(fā)棋牌”在線賭博平臺(tái)。

棋牌游戲的推廣，也是離不開SEO的，從某搜索引擎結(jié)果來(lái)看，“鴻發(fā)棋牌”的排名還是比較靠前的。

通過(guò)websiteinformer.com可以查到早在2012年7月就冒充菜刀官網(wǎng)。

通過(guò)WHOIS域名查詢得知該QQ郵箱對(duì)應(yīng)的其他域名如下圖。

對(duì)域名注冊(cè)者進(jìn)行反查結(jié)果如下圖域名。

通過(guò)域名來(lái)看，基本上都和黑產(chǎn)、黑客相關(guān)。

www.caidaomei.com釣魚站追蹤及溯源

www.caidaomei.com這個(gè)站的主打有“最新xise菜刀寄生蟲破解版vip版(過(guò)狗)”、“紅色版中國(guó)菜刀(20141213)正式發(fā)布 過(guò)狗紅色菜刀”、“最新提權(quán)免殺asp木馬,不死復(fù)活僵尸木馬”和“最新過(guò)狗菜刀下載”，但經(jīng)分析，該站所有的Webshell管理工具都存在后門。比如“xise菜刀寄生蟲破解版”，就存在“jsc.dat”后門——因?yàn)椤皒ise菜刀”的默認(rèn)數(shù)據(jù)庫(kù)文件名為“jsc.mdb”，和中國(guó)菜刀的“db.tmp”后門異曲同工。

文件MD5: 5bb4f15f29c613eff7d8f86b7bcc94c1

不僅如此，該站菜刀后門的箱子數(shù)量也十分可觀，我們從后門地址共提取了194個(gè)后門箱子共計(jì)75166條Webshell，消重后仍有18613條Webshell，平均每個(gè)后門箱子中有96條Webshell。

在分析樣本時(shí)，發(fā)現(xiàn)一個(gè)特殊的樣本（fe2a29ac3cae173916be42db7f2f91ef），疑似做測(cè)試的。

通過(guò)Whois查詢，demo.heimaoboke.com的站長(zhǎng)QQ為408888540。

通過(guò)搜索引擎，可以找到QQ408888540的在網(wǎng)易lofter上面的blog空間，在該空間中，存在大量的xise菜刀及黑帽SEO的介紹。

文章就是介紹Webshell箱子（菜刀后門）的，可以按需訂制，并提供相應(yīng)的售后技術(shù)支持，就是不知道這個(gè)所謂的后門還會(huì)不會(huì)有個(gè)后門。

QQ號(hào)信息如下圖。

進(jìn)入其QQ空間，可見黑帽SEO案例的操作結(jié)果截圖。

通過(guò)搜索引擎，能夠找到其在百度網(wǎng)盤的分享信息。

還有私密分享，但沒(méi)有提取密碼，不知道共享的是什么文件。

由于這個(gè)QQ號(hào)是個(gè)小號(hào)，未能有更多的社工信息，就此打住，用張?zhí)煅鄣目梢暬P(guān)聯(lián)平臺(tái)里的關(guān)系圖來(lái)結(jié)束此次溯源。

0x05 寫在最后

講了這么多中國(guó)菜刀及其相關(guān)的后門，總結(jié)下來(lái)，還是一個(gè)“利”字。有的人為讓自己的網(wǎng)站有更多的流量，不惜入侵他人網(wǎng)站使用非法手段來(lái)提升排名和流量。本篇文章從挖出線索、匯總、整理、再挖再匯再整，時(shí)間跨度了幾個(gè)月，中間也因?yàn)橛衅渌鼉?yōu)先級(jí)更高的事情及過(guò)農(nóng)歷新年影響了進(jìn)度，今天終于與大家見面了。再預(yù)告一下，天眼安全實(shí)驗(yàn)室接下來(lái)將會(huì)放一篇更重磅的報(bào)告出來(lái)，敬請(qǐng)關(guān)注。另外，360天眼安全實(shí)驗(yàn)室還在招人，要求扎實(shí)的二進(jìn)制逆向分析基礎(chǔ)，有惡意代碼分析經(jīng)驗(yàn)最好，同時(shí)我們現(xiàn)在還需要后臺(tái)開發(fā)，要求熟悉大數(shù)據(jù)平臺(tái)，能夠利用現(xiàn)成框架快速搭建數(shù)據(jù)流程，[email protected]驗(yàn)室，數(shù)據(jù)會(huì)讓你有不同的眼界。

0x06 附錄

收集整理的樣本相關(guān)數(shù)據(jù)，可以作為IOC使用。

樣本MD5

0213fef968a77e5cd628aca6a269d9bd

02ca1b36b652c582940e6ae6d94a6934

066f696d49ee8c67be0c3810af46faf1

0785ec81048ad5508956e97360ac322f

0bbcae2af8499a1935f66e4f3cf0cb69

0cdcd9834be42a24feed91dc52b273c7

0de40d8e66b1c3bd12f1a68f9914b60b

126bc9e60f0aaac0bf831dfee1be7326

16151ad243a6f3b9d2fae4a3d91e8007

19e3e3249dc3357ccfa6151049cd1854

1dac878c4a6bddd4194d627bb57d6d58

23940b1b3ff3509933a6fbd46e25c162

23d21fcef3ab3d690b2325979f44d150

2aef1877a28758ba3d78adc65d2ec3db

33b858d1a17a34d7d9676ab80242ccc6

368539bfea931a616489df15e7c1d79c

3923331de81cd5d4c5abe2f8448c25a9

3c40b58ac7eea158f2fa956545e4eee2

46a5e5c94cb5f5b39069cff4f9ba3843

5a6b933b5054efa25141e479be390a37

5ebc970c321b839aab5e2aac73039654

5f2623fecfa77dfca3f3336cee1732fe

5f83eaae01aa1b138061b89aa5374478

63a2c5650b6babd2214e29a1d83e6f98

6c5290651f4b8b188037b2d357ea87cb

8644b075c9de6749e5b3ce20c3348be3

87634adbbf10d6595845dc50ace9d672

88b9059aafa832f0d83b371a34a46506

892cacd515ce684fecf69983c87dbbf1

8fca2f54b4107df7b046c166ed42a3e6

91167748ef09c91cb0047ccd465e1370

918d90cd43bd8c121144e572b1542e21

a1f26b69cee65dfe1cb91a7be2aea6a2

a3e4b1f5661e51b3b5bdc4cae9de6921

aa613662fe3c8cd108c6f7a104e75826

b037871f8a69f5b094dcb6f3b3986bd0

b439239568da85104308fa5b0588eb31

b56b4507a1182356e607c433d9a3a5d9

c00456ba818d78132aaf576f7068e291

c72a397fcc273b272254bb1dea0fd045

cd37fba00631a4a91dfb1239235abe0c

d7383f26d56e6a21a0334ac7eb4ccf8a

d7f7411951e4d4f678f27424c0c21ecd

e3fec98250cdd9cefa9c00b0d782775b

e447b5b56c0caaa51cc623d64dc275d9

e81aa81815e94dff6de0cb1efe48383a

ee39bf504cb66cd22a5c2ce96c922f12

f13c045a7a952e44877bf3f05f2faa8c

f2156701935f78c0ca6d610f518f4f37

f54291227bec8fb1c7013efba8dc9906

f90abd7f720a95d2999f29dbc8d45409

fb5e9c43062a1528ea9cd801c4c6d0b3

fe0720b465fcde0af7ca0b8dc103bc47

fe2a29ac3cae173916be42db7f2f91ef

后門收信地址

http://122.10.82.29/cc.asp

http://1pl38.com/

http://9128.cc/update1111/index.asp

http://aspmuma.net/

http://baidu.myth321.com/baidu/index.asp

http://boos.my.to/caida

http://caidao.guoanquangouma.com/xy.asp

http://cd.myth321.com/index.asp

http://cpin.g.xyz./db.asp

http://dema.gjseo.net/db.asp

http://demo.888p.org/inex.asp

http://demo.asphxg.cn/xg.asp

http://demo.gjseo.net/db.asp

http://demo.gpzd8.com/xg.asp

http://demo.heimaoboke.com/96cn.asp

http://demo.heimaoboke.com/index.asp

http://demo.hmseo.org/db.asp

http://dns.haotianlong.com/index.asp

http://jsc.i06.com.cn/www.asp

http://pkpxs.com/index.asp

http://s.anylm.com/anying/index.asp

http://tophack.net/

http://www.0744m2.com/index1.asp

http://www.668168.xyz/1index.asp

http://www.gnrgs.cn/webshell.asp

http://www.histtay.com/index.asp

http://www.huaidan98.com/cd/index.asp

http://www.jpwking.com/index.asp

http://www.weblinux.xyz/

http://www.zgcaid.com/index.asp

0x07 相關(guān)閱讀

【1】：簡(jiǎn)評(píng)黑客利器——中國(guó)菜刀【2】：Breaking Down the China Chopper Web Shell - Part IBreaking Down the China Chopper Web Shell - Part II【3】：強(qiáng)大的網(wǎng)站管理軟件 – 中國(guó)菜刀20141213新版發(fā)布【4】：2015年中國(guó)網(wǎng)站安全報(bào)告