如何抓到入侵網站的黑客?
發布者:蘇州億韻 時間 : 2019-08-28 瀏覽量 : 82

  我朋友在創業,聽說他公司網站被人搞了,請我去幫忙看下。


  我發現他們公司服務器會反鏈一個域名叫http://yk.syncn.org。于是我查了下這個域名


  https://www.virusbook.cn/domain/yk.syncn.org 


8


  手機號明顯是假的不用說了,郵件看著倒是真的,順藤摸瓜看了下這個人的gmail找回手機號:*********67。


  于是看了下這個人注冊的相關域名。


9


  除了yk.syncn.org, 還注冊了http://spacework.co、http://btsoso.org、http://xiasidiele.com。別著急,咱們一個一個的看。


  我發現“btsoso.org”在百度中居然還能搜到一些東西。有名為“space”和“spac”的網民對該域名進行過推廣,并留有qq(956308460)聯系方式


10

 

  這個QQ號的昵稱叫SB

11


  照著這個QQ號人肉一番,發現這個QQ號做名字在“紅客聯盟”、“暗組技術論壇”、“合購網”等多個黑客交流論壇發布信息。那就,翻了下他帖子?發現主要關注“webshell”、“木馬免殺”、“遠程控制”。想在深入挖掘下,于是就想起了QQ特么不是有郵箱么!


  用http://threatbook.cn查了下[email protected]注冊的網站,發現大部分都叫kong ge。太沒新意了,你說這幫做黑客的就不能摒棄"哥"這個占便宜的稱謂么,袁哥,黑哥,泉哥,能不能有點新意!能不能!?(最后發現人家其實叫空 格........可見我對安全圈哥哥哥之類的稱謂深惡痛絕)


  拿著"空哥"的郵箱,去翻了下已經公開的社公庫,發現這個郵箱跟另一個郵箱高度關聯[email protected]。而且登錄賬號的地址都是廣東省清遠市。社公庫里沒找到手機相關的信息。


  然后拿著兩個qq號,去各個網站找回密碼等地方去碰撞,終于把手機碰出5位。是"132****5767"。中間的星號看不見。我們設置為x。玩笑。。。


  但其實中間4位是能猜的,地址是廣東清遠,前三位是132,排查下就能知道,手機號是13232815767。然后根據手機號翻微信,用1039151694翻微信,發現都是一個人,基本上確認沒錯。


  然后用這個手機號再去社公庫查下,發現能找到這個人的身份證441801******144617(我打碼了)。


  身份證手機號 都知道了。拿著這個手機號翻支付寶,發現這個人叫曾劍鋒,支付寶的郵箱是[email protected]。又有新信息可以清洗了,還可以再拿這個郵箱再查。但沒必要了,想知道的都知道了。


  這大概就是追查流程。


cache
Processed in 0.005372 Second.
锦鲤配资