WooYun.org

事情起因是工作邮箱在近一个月来不停收到垃圾邮件，而且退订的地址均很有规律，
这种不胜其扰终于把我给惹怒了——你们要靠此养活家人，难道我就不用工作啊！
于是乎进行了一轮简单的追踪，并且在今天有了突破。

首先直接讲结论：
1、该垃圾邮件服务提供商牛就牛在其持有IP众多，分布在国外的VPS中，
并且适时地利用了各种泄露数据库的EMAIL进行垃圾邮件发送。
但IP段比较集中，约在216.6.238.*，173.234.170.*，173.208.221.*，173.234.140.*
2、该垃圾邮件服务提供商的系统中存在SQL注入漏洞，可导致众多有效邮件地址泄露，引发更广泛的垃圾病毒邮件传播问题。
下面分析：
1、邮件头
邮件头出现了不少由国外VPS代发的身影：

Received: from zestservers.com (HELO g20.wangmengcms.com) ([216.6.238.120])
Received: from reverse.rethinkvps.com (HELO m6.shenzhenle.com) ([173.234.170.241])

目前收到的邮件发送源IP：

216.6.238.29
216.6.238.102
216.6.238.106
216.6.238.110
216.6.238.114
216.6.238.120
173.234.170.241
173.234.170.245
173.234.170.251
173.208.221.88
173.208.221.84
173.208.221.80

2、邮件URL
邮件中出现了几个较为集中的域名。从这些域名反推到IP，也可和邮件头部分对应。

i.51wuxie.com         173.234.170.100
six2.ilele.in         173.234.170.253
seven.51wuxie.com     173.234.140.106
goods.ilele.in        173.234.140.106
v.aifree.in           108.62.19.210
item.zhaobiao88.com   216.6.238.100
没有链接              173.208.221.66

其中，将http://173.234.170.100 改为http://173.234.170.101 、http://173.234.170.102 可见到相同的nginx/1.1.4，可见其持有IP之多。
3、邮件中的跳转URL存在SQL注入漏洞
从该垃圾邮件服务提供商发送的垃圾邮件，其内含的链接均为跳转url。而这个url存在注入漏洞：

http://i.51wuxie.com/cck.php?gid=281 （下面渗透测试基于此url）
http://goods.ilele.in/item.php?gid=312

经渗透测试，里面含有：
（1）所有的推广信息；
（2）目前正在发送垃圾邮件的服务器监控（貌似不完整）；
（3）所有深受垃圾邮件困扰的受害者email（还分库分表）；
（4）竟然还有一个名为csdn的数据库，来源和用途各位你懂的；而且还清洗出一个qqtest数据库
而更让人担心的是，这个数据库是root权限的。
可以想象如果有黑客盯上这个数据库，里面的有效email又再遭泄露，引发垃圾、违法甚至是APT EMAIL的发送循环，所有受害者掉到无底洞中无法停止......