入侵網(wǎng)站的黑客被我抓到了！

轉(zhuǎn)自：小白學(xué)黑客

今天在知乎看到一個(gè)提問：

在下面回答區(qū)，我看到網(wǎng)友分享的真實(shí)案例，大家可以看一下，順便了解一下網(wǎng)絡(luò)溯源是怎么一回事，也給大家一些啟示。

---

我朋友在創(chuàng)業(yè)，聽說他公司被人搞了，請我去幫忙看下。

我發(fā)現(xiàn)他們公司服務(wù)器會(huì)反連一個(gè)域名叫：http://yk.sy***cn.org

于是我查了下這個(gè)域名

手機(jī)號明顯是假的不用說了，郵件看著倒是真的，順藤摸瓜看了下這個(gè)人的gmail

通過忘記密碼，發(fā)現(xiàn)手機(jī)號末尾兩位：

*********67

繼續(xù)看了下這個(gè)人注冊的相關(guān)域名。

除了yk.syncn.org, 還注冊了

• http://spa**work.co

• http://bt**so.org

• http://xi***iele.com

別著急，咱們一個(gè)一個(gè)地看。

我發(fā)現(xiàn)“btsoso.org”在百度中居然還能搜到一些東西。

有名為“space”和“spac”的網(wǎng)民對該域名進(jìn)行過推廣，并留有qq（956308460）聯(lián)系方式

這個(gè)QQ號的昵稱叫SB

照著這個(gè)QQ號人肉一番，發(fā)現(xiàn)這個(gè)QQ號做名字在“紅客聯(lián)盟”、“暗組技術(shù)論壇”、“合購網(wǎng)”等多個(gè)黑客交流論壇發(fā)布信息。

那就，翻下他的帖子？

發(fā)現(xiàn)主要關(guān)注“webshell”、“木馬免殺”、“遠(yuǎn)程控制”。想再深入挖掘下，于是就想起了QQ特么不是有郵箱么！

用http://threatbook.cn查了下[email protected]注冊的網(wǎng)站，發(fā)現(xiàn)大部分都叫kong ge。

太沒新意了，你說這幫做黑客的就不能摒棄"哥"這個(gè)占便宜的稱謂么，袁哥，黑哥，泉哥，能不能有點(diǎn)新意！能不能?。?最后發(fā)現(xiàn)人家其實(shí)叫空格........可見我對安全圈哥哥哥之類的稱謂深惡痛絕)

拿著"空哥"的郵箱，去翻了下已經(jīng)公開的信息，發(fā)現(xiàn)這個(gè)郵箱跟另一個(gè)郵箱高度關(guān)聯(lián)[email protected]。而且登錄賬號的地址都是廣東省清遠(yuǎn)市。

沒找到手機(jī)相關(guān)的信息。然后拿著兩個(gè)qq號，去各個(gè)網(wǎng)站找回密碼等地方去碰撞，終于把手機(jī)碰出5位。是"132****5767"。

中間的星號看不見，但其實(shí)中間4位是能猜的，地址是廣東清遠(yuǎn)，前三位是132，排查下就能知道，具體我這里就不透露了。

拿到手機(jī)號之后，然后根據(jù)手機(jī)號查詢微信，再結(jié)合用QQ查微信，發(fā)現(xiàn)都是一個(gè)人，基本上確認(rèn)沒錯(cuò)。

然后用這個(gè)手機(jī)號再去網(wǎng)上搜下，發(fā)現(xiàn)能找到這個(gè)人的身份證441801******144617（我打碼了）。

身份證手機(jī)號都知道了。拿著這個(gè)手機(jī)號翻支付寶，發(fā)現(xiàn)這個(gè)人叫曾*鋒，支付寶的郵箱是space***@163.com（我又打碼了）。

又有新信息可以清洗了，還可以再拿這個(gè)郵箱再查。但沒必要了，想知道的都知道了。

這大概就是追查流程，其實(shí)無外乎幾點(diǎn)吧。

所以人在江湖飄，盡量用小號，別把自己的信息到處留，保不準(zhǔn)哪一天就成了別人人肉的線索。

有道無術(shù)，術(shù)可成；有術(shù)無道，止于術(shù)

歡迎大家關(guān)注Java之道公眾號

好文章，我在看??