駭客入侵事件簿3

因為我們的縣網擋掉 6667，結果剛好使得他們的後門失去作用。

經過檢查，httpd 果然是 iroffer 的設定檔，他讓這個 server 自動連往以下的 irc server

[[MORE]]
server 207.36.47.119 6667
server irc.rizon.net 6667
server irc.rizon.org 6667
server 69.22.163.105 6667
server 69.56.199.206 6667
server 69.56.199.206 6670

並且加入這個 channel：

channel #ReVoLuTiOn -plist 45

加入 channel 的時候，使用的是這個身份：

user_nick Rev|JeV|86
user_realname By JyV
user_modes +ix
loginname eXpLoIt

我當然就用了 IRC 軟體連入那個 channel，果然發現他們的大本營。
我們的系統成為一個分享檔案的伺服器，這個集團用被入侵的機器放各種 DVD 影片、MP3、遊戲等等資源在上面，你只要在那個 channel 裡面對後門下個指令，該後門就會自動把你要的東西丟給你。

我又循線查到這個網站： （我剛剛上去網頁已經被拿掉了）
http://utenti.lycos.it/buyo3/

從這個網頁顯示的資訊，可以推論出他們是義大利籍的集團，（都用義大利文咩，網址也是 .it）這個網頁列出所有的資源，真的是蠻可怕的，至少有幾百 GB 的東西分享在上面，而且下載速度都很快。

你找到自己想要下載的東西之後，只需要在在 IRC channel 中下指令：

/msg ReV|DivX|214 xdcc info #19 （可以查 214 這個後門裡的第 19 號檔的資訊）
/msg ReV|DivX|214 xdcc send #19 （下載第 19 號檔）
/msg ReV|DivX|214 xdcc remove (還沒試）


他們也許嫌 irc 有點麻煩，所以還寫了專用的工具：
http://www.over-software.net/revolution/ （誰可以幫我翻譯義大利文啊？）

檔案搜尋引擎：
http://ircspy.com/directory.asp?mode=showbots&networkid=159&channelid=17440