1，川鹰翱翔威震夷

　　—中美黑客战之四川鹰派战斗纪实

　　作者：鹰派技术组成员WPS2000

　　======================================================================

　　时间：2000年4月30日晚9时

　　地点：川北某市某居民小区

　　“嘀”的一声，我的P3-866从沉睡中惊醒。

　　看着闪烁的屏幕，我点燃了一支烟，昏暗的小屋里顿时弥漫着一股浓烈的烟味。

　　我是一名警察，喜欢烈烟，每当执行公务需要熬夜的时候，总少不了它。未来的八天内，我将参加一场没有硝烟的战争。这将是一场消耗身心的战斗，为此我整整睡了一个下午；这是一场关系到祖国的尊严与荣誉的战斗，为此我不得不打起十二分的精神。

　　事出有因：

　　4月1日，美国侦察机在我国海南附近侦察时撞毁我战斗机一架，飞行员王伟至今下落不明。

　　4月22日，美国总统布什声称将武力保台。

　　4月24日，美国政府对台湾出40亿美元的武器

　　4月上旬至下旬，美国黑客组织Pr0phet、PoisonBOx借机频频攻击国内网站，200多家网站惨遭毒手。并叫嚣“把注意力集中到中国身上，让他们的服务器见鬼去吧”。　

　　……

　　够了，是可忍孰不可忍。为了维护国家稳定的社会局面，面对美国政府的霸权主义行径和美国黑客的挑衅，我们不能游行、示威，更不能像其他一些国家的人民静坐、绝食、焚烧美国国旗。但是，作为电脑爱好者，我们却能够利用心爱的电脑，在互联网这片广阔的天空对美国黑客进行反击。

　　前几天，国内著名黑客组织，中国红客联盟、中华黑客联盟和中国鹰派已明确表示，将在“五一”劳动节对美国网站发动八日攻势，代号“南海行动”。

　　什么是黑客？有人说是利用计算机进行犯罪活动的人，有人说是在精神上，对计算机领域进行无限探索的人。贬也罢，褒也罢，不过一个不可否认的事实是，中国的黑客组织是在爱国主义，民族主义的土壤上成长起来的。

　　1997年，印度尼西亚排华反华事件，中国黑客向印尼反华暴徒的网站发动了攻击，造成印尼多家网站瘫痪。

　　1999年5月，在以美国为首的北约轰炸中国驻南联盟大使馆后。中国黑客袭击了美国能源部、内政部及其所属的美国家公园管理处的网站，有一次大规模的攻击致使白宫网站三天失灵。

　　1999年7月，李登辉公然抛出“两国论”之后。台湾多家军政网站受到大陆黑客攻击，受攻击最严重的是台湾“国民大会”的网站，其主页上不仅被贴上五星红旗，而且其系统内部的资料也被删除殆尽，电脑主机一度瘫痪。

　　2000年初。1月23日，日本右翼势力在大阪国际和平中心进行了以“南京大屠杀：20世纪最大的谎言”为主题的大型集会，公然为南京大屠杀翻案。在中国政府和南京等地人民进行抗议的同时，中国黑客和海外华人黑客多次入侵日本网站，以实际行动回击日本右翼的丑行。

　　……

　　而今晚，一场更大规模的反美黑客战即将打响。这场战争，注定将载入中国IT史册！

　　进入中国红客联盟的IRC会议室，显然我已来晚了，红盟站长LION已经发布了动员令，数千名红盟成员开始对美国部分网站展开攻击。人们拥挤在IRC里，有的在讨论如何分工，有的在讨论如何攻击，一时间IRC里出现了短暂的混乱。我是中国鹰派的成员，自然也忘不了到鹰派总部会议室看看。鹰派会议室的情况和红盟也差不多，在那里，我遇见了不少熟人，包括我们鹰派四川站的成员。

　　9：30分，我用OICQ与四川站的SUNNLY、JAXE联系上了，我们商量之后，由JAXE负责美国IP段的收集和扫描，我负责对NT主机的攻击。SUNNLY负责对UNIX主机的攻击。过了不久，JAXE告诉我，我们四川站战前收集的四十多台跳板主机已经全部开动，正在全速扫描一些美国IP段的网站。

　　半小时后，JAXE给我发来了第一份扫描报告，我看了一下，这个IP段有一个NT主机群，但绝大多数提供的服务并不多，只有两三台存在用户名和密码设置简单的问题，我设法登录上去，发现没什么重要的东西，最多可以用来当跳板。

　　第二份，第三份，扫描报告陆续出来了，我挑了一个漏洞比效多的NT主机作为我们这次参战的第一个目标。这是一个商业网站，NT.40的主机，开放21、80、139端口。利用它的unicode漏洞，我很顺利地上传了木马和其它漏洞程序，并成功地提升了用户权限。然后通过139端口进入它的内部，实现了映射网络硬盘和TELNET服务。根据这次行动的要求，我没有对它重要的数据进行破坏，仅仅更换了页面。

　　正如事先预料的一样，并不是每一个美国的网站都有严密的防守，而且就算是装了防火墙，并且只开放80端口，如果ASP、CGI配置不当，也会被干掉。接下来，我用一些常见的系统漏洞，在三个小时之内入侵了五个网站，其中三个被更换了页面，另外两个作了跳板。SUNNLY那里也传来好消息，干掉了一台UNIX的主机。

　　初战告捷，这极大地鼓舞了我们的士气，我们一边到总部的在线统计表上发布战果，一边和鹰派其他成员联络，交流经验，让更多的战友加入到这场战斗中去。

　　5月1日，中国鹰派“‘五月之鹰’行动指挥中心”正式成立，上海鹰派成员BEYOND但任特别行动小组长，我被任命为副组长，由浙江鹰派成员REDANT、Sharpwinner担任特别助理，我们这个小组主要负责成员的联络和技术攻关。

　　晚11时，我正在收集最新的网络安全资料，山东站成员“都来看上帝”找到我，告诉我有一个IP段的美国主机许多有漏洞。因他在网吧，不便于直接进攻，于是我们决定联手来攻克这些网站。“都来看上帝”找到几台有漏洞的主机，通过这些漏洞找到了对方的WEB安装目录，然后，由我来上传木马和被黑页面。几小时后，这些主机“都见上帝去了”。

　　在战斗中，我们遇到的最大的困难并不是进入这些主机和更换页面，而是如何利用现有的漏洞来夺取管理员的权限。由于每一台主机的管理员对特定用户的权限设置都不尽相同，我们遇到的问题可以说是五花八门。从文件的上传、复制、删除，脚本的写入、调试，程序、木马的执行，到提升用户权限，我们不一定每一次都能成功，有时可能会采取五六种不同的方法，而这是非常消耗精力的事。我曾在入侵一美国政府网站的时候，花了四个多小时也没能成功。面对这些困难，我们一是请教高手，二是经常在一起讨论，三是查阅最新的网络安全方面的资料，而后一种方法，我认为是比较好的。许多网友一上线就问我在做什么，我最多的回答就是“查资料”。这样做不但可以提高自己的自学能力，还能加深印象，促进知识的积累。

　　随着时间的推移，战局也慢慢地发生了变化。最初，美国黑客以非常嚣张的气焰来攻击我们国内的网站，到5月3日，国内已有400多个网站沦陷，包括一些政府网站和研究所。客观地讲，他们的手法也不是很高明，主要也是利用一些常见的漏洞，当然这也反映出国内网站的全安性的确太差，如果稍作防范，他们也不会轻易得手。但是这些入侵者的破坏手段却非常让人气愤，许多已不是停留在修改页面上，而是删除重要数据，使服务器彻底瘫痪，致使一些网站的直接经济损失达数万元。5月1日以后，各大网络媒体纷纷报道这次中美黑客战，从一定程度上讲，这起到了推波助澜的作用。媒体的报道，使更多的人了解到这次战事，也让更多的网友、技术人员投入到战斗中去。比如这次比较出名的飘叶邮件炸弹，就让数万人下载、使用，后来这种简单、容易上手的武器，让千千万不懂黑客技术的网友将白宫的邮件服务器炸得一度瘫痪；连只懂得PING的人，也在上网的时候不断地向白宫等重点网站发数据包。单从技术上讲，这些做法只会让那些高手笑话，但从积极的意义上讲，这也反映出中国网民们不畏强暴，敢于同美国霸权主义作斗争的爱国主义精神。正是千千万普通网民的参战，使美国黑客陷入了“人民战争的汪洋大海”中去，直至5月8日战斗结束，美国共有1600多个网站遭到了不同程度的破坏，包括美国劳工部、美国加利福尼亚能源部、日美社会文化交流会、白宫历史协会、UPI新闻服务网、华盛顿海军通信站等。 连安全性很强的美国白宫网站，都被DDOS(分布式拒绝服务)被迫关闭了2小时。

　　战争后期，我们四川站主要已不再更换网页。为了长期控制一些网站，我们没有破坏它的系统和页面，而是采取“监视动向，长期控制”的方针。特别是一些大型网站的服务器，内部网还有其它更多的计算机，我们装上了嗅探器和木马，进而取得了更多主机的控制权。然后，我们又利用这些跳板主机对美一些重要网站进行DDOS。DDOS不是简单地使用PING，而是用大量跳板主机向被攻击目标连续发送大量伪造的IP包，导致服务器不能为合法用户提供正常服务。5月4日、5月8我们四川站动用了包括战斗期间收集的80台跳板主机对白宫、中情局等重点目标进行DDOS。这些跳板主机大多数是美国的，用美国的主机攻击美国网站，这种方法可称得上是“借刀杀人”吧。：)

　　在入侵过程中，我们有时也会遇到对方的追踪和反击。由于我们有时是在晚上行动，对方的时间却正好是白天，如果遇到有经验的管理员，我们不但不能得手，而且还会遭到反击。有一次，JAXE在入侵一台WIN2K主机的过程中，通过一个CGI漏洞获得了管理员的权限，然后登录到对方终端服务器。谁知正巧对方管理员正在上面使用终端服务管理器，一下就查出了JAXE这个非法用户，然后马上发了一条警告消息。JAXE当时吓了一跳，不得不退出。JAXE下次登录的时候，结果发现对方的3389端口已经关闭，一些漏洞也打上了补丁。5月6日晚，我在入侵一台主机的时候，也被对方管理员发现，他马上扫描了我的IP，一时间我的防火墙频频发出警报。五分钟后，居然有二十多个不同IP的主机向我发来了攻击数据包，欲炸翻我的电脑。无奈之下，我只有放弃，然后断线，重新登录互联网。

　　5月8日，中国红客联盟和中国鹰派共同宣布停止对美攻击，我们四川站也停了火。

　　这次为期八天中美黑客战，纯粹从技术的角度讲，双方都无非常高超的技术，特别是我们中方，许多人采用的是很简单的攻击方式，甚至一些人的网络技术非常差，连起码的常识都没有。比如通过一些手段攻入了一台主机，但这台主机只有IP，没有域名，更没有WEB页面，他们却把做的网页挂了上去，最后还纳入了战果；更有甚者，有的人猜解一些简单的密码成功后，却不知道通过什么方式进去，连TELNET、FTP等基本的网络命令都不清楚。当然，正如红盟的站长LION在采访中说的那样，我们并不能称之为黑客，只能叫具有爱国主义、民族主义的电脑爱好者。我觉得这个称谓比较恰当，事实上，许多真正的黑客并没有加入到这次行动中来，而美国的所谓黑客，更多的也是搞破坏的CRACKER。说到这里，不得不谈一下我们这次行动的合理性。这次国内有一部分人认为，不论黑客红客，都是对网络秩序的破坏，因此，对中国黑客的攻击行为应持否定态度。这种看法，是脱离了攻击行为本身的性质的形而上的空谈。大家应该知道，这次“网络战争”首先是由美国黑客挑起的，而我们，不过是对美国政府的霸权主义行径和美国黑客的恶意攻击进行的反击。试想，在现实生活中，如果遇到外敌入侵，我们是考虑到战争带来的破坏性而坐以待毙，还是奋起反击呢？恐怕没有几个人会选择前者。同样的原则也应适用于网络。更何况我们的攻击程度大多数仅限于更换网页，只是贴出了一些反抗标语和言论。连白宫发言人也说，这次黑客大战的对美国大多数网站并没有造成很大的损失，更多的体现了一种政治意义。而从另一种角度讲，这次黑客大战对加强国人网络安全意识也起到了一定的作用，对国内的网站更是一种考验。

　　我们中国鹰派是一支有组织、有纪律，具有爱国主义、民族主义特色的网络安全团体，目前全国各地都有分站。四川站正是鹰派总部领导下的一支优秀的队伍。通过这次行动，我们的成员进一步受到了爱国主义教育，提高了网络安全技术。我们将和千千万万具有爱国主义精神的电脑爱好者一道，在未来的日子里坚决维护“一个中国”的基本原则和国家的尊严，用自己微薄的力量捍卫祖国的网络安全，在互联网这片广阔的天空里抒写自己的青春与热血！ 

 　　2，中国鹰派关于攻击****网站的详细报告

　　各位同志：

　　由于许多网友不知道之前我们进行的是攻击测试，所以提出不少疑问，尤其是对攻击后的恢复现象。

　　这里我们再次强调攻击****网站不是我们的直接目的，而是我们对所有甘心做反华势力的小人所做的姿态。由于目前我们处在调查和实验阶段，所以并不理会其技术含量和攻击水平的问题。这里不是单纯的技术较量，而是正义与邪恶的较量，是对于那些躲在美国叫骂中国人的回应！

　　公布以下我们自己作为记录保留的简单实验报告，以正视听。由于鹰派的活动属于集体行动以及保护我们的成员，报告没有公布成员作者的名字。

　　中国鹰派联盟攻击法论功站点实验报告

　　攻击时间：北京时间2月7日下午，中国元宵节

　　被攻击对象：某境外****站点

　　主机系统：WIN NT 4.0

　　开启服务：WEB、FTP、SMB。

　　过程如下：

　　扫描WEB没有发现可利用的大漏洞，只发现提供FONTPAGE扩展以及查看跟目录的小漏洞。由于站点URL被国内封锁无法直接访问只好用远程跳板了。扫描139发现3个USER权限用户口令设置过于简单，获取用户名的时候发现用户的注释是网站的网址，可以直接用浏览器直接访问，以及直接扫描。但是不允许FTP登陆。

　　用网络共享登陆查看共享资源，竟然连C$的共享都没有开。只好net use * /delete了。怀疑对方不是正好今天FTP坏了就是使用WEB方式更新主页的。想到提供FONTPAGE服务决定一试。

　　开启虚拟主机上面没有被封锁并且猜出口令的WEB。根据提示输入用户口令，马上就列出了WEB里面的所有文件。于是马上COPY了NCX99和ASE上去。访问ASE所在目录直接选择了列出虚拟目录文件，发现原来所有虚拟WEB目录都在E盘。立即找到****所在的目录、并且找到INDEX文件，并且修改直接修改，但是返回出现提示权限不够，无法修改WEB。直接访问C、D、都提示权限不够无法访问。转回执行自己放上去的NCX99发现也是权限不够！正当打算放弃的时候输入了c:\WINNT回车，发现WINNT目录竟然可以访问随便找个TXT文件竟然还可以DEL看来这个WEBMASTER真的是一时不慎啊！最后一击，COPY了NCX99文件点执行。。。。 TELNET SERVERIP 99。。。。C:\WINNT\SYSTEM32......。进入****所在的WEB看。。。。测试删除文件成功。。。。干掉全部文件。。。发现有个LONG无法消灭。。怀疑是WEB的于是NET STOP W3SVC。。。。再DEL *.*全部搞定。。net start w3svc.....。

　　不能太快给他恢复。net use ********* %$#%$#%$#%.........。他会不会忘记了自己注册信箱啊？COPY被黑页面上去。OK。。完全搞定。