原標題:反擊黑客之對網站攻擊者的IP追蹤
ip追蹤是一件比較難實現的,因為我隻有一個ip,而且在沒有任何技術支持下對該ip追蹤,同時我在公司也沒有服務器權限,僅有後臺,一般的ip追蹤技術分類,反應式ip追蹤,主動式的追蹤,分享的隻是一個過程,提供一個思路我不敢保證每個人都能這樣成功利用。
早晨起床上班像往常一樣,打開電腦,吃一份早餐,看看i春秋學習技術,在打開公司的網站做一份數據統計,但是今天打開網站的cnzz統計時不向往常那樣瞭,發現顯示在今天來路域名中有一個網站看著很熟悉,仔細看清楚這個不是awvs的掃描地址嗎?
0×01食品機械
很疑問難道有黑客要來黑網站,發現單獨一個ip對網站的訪問次數是64次,wvs幫他掃描瞭64,不過這個次數數據有可能不準確,突然想起瞭在Freebuf裡面看過大牛寫過“論如何反擊用AWVS的黑客”內容相當精彩,但是我這一次是要對這掃描者進行追蹤,freebuf那邊那篇是故意讓黑客來訪問他的攻擊頁面,所以利用不上,不過也是學習瞭,想看看是誰想要來攻擊網站,因為網站多次給掃描瞭,這不是第一次瞭,所以不能每次隻做防禦,也要讓這個黑客收手吧!
Cnzz裡面有許多的信息可以尋找,而且我們網站也有記錄一些信息,今天早上網站的訪問量不是很多,找起來也就方便許多,uv 1000個 ip 900多個差不多這樣,根據流量趨勢中發現瞭在9點到10點這段時間uv 跟ip 90多個但是PV是800多,分析出這段時間是黑客對網站進行掃描的時間
於是我在明細中,找到瞭一個可疑的ip,這個ip在這個9-10的時間段,這個ip訪問瞭兩百多次,但是仔細看瞭一下另外這個訪問兩百多次的ip是我們公司的ip,事實證明瞭這個不是攻擊者的ip,其中還有一個ip在網站點擊瞭100多次,平均是1秒點擊3個頁面,跳出率是百分之百根據分析是wvs在進行掃描,這個ip就是攻擊者的ip。
想到這個ip可能是代理ip可能不是黑客的真實ip,因為公司網站中添加瞭一些“獲取客戶端”真實ip防止黑客使用代理訪問
參考https://my.oschina.net/geekice/blog/149556 ngi自動填充機nx反向代理httpd獲取用戶真實ip
0×02
公司的網站是jsp這裡我就貼上Java的獲取真實ip的後端代碼,下面瞭解一下這些代碼
public String getClientIP(HttpServletRequest request) {String ip = request.getHeader("x-forwarded-for");if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getHeader("Proxy-Client-IP");}if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getHeader("WL-Proxy-Client-IP"); }if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getRemoteAddr();}return ip;} public String getClientIP (HttpServletRequest request)
得到用戶的公網(代理)ip 然後在對用戶發起一次http請求
String ip = request.getHeader("x-forwarded-for");
請求獲取x-forwarded-for ,x-forwarded-for就是請求獲取http訪問的真實ip
大致的過程也就是這樣來獲取,下面的代碼是判斷ip之類的,這個Java的代碼目的也是獲取http訪問的真實ip,下面的就不做解釋瞭,理解他的主要功能就行
如果想深入瞭解的可以看看,下面這篇文章,寫的很經常,也是寫nginx 反向的一些東西
http://www.cnblogs.com/zhengyun_ustc/archive/2012/09/19/getremoteaddr.html
0×03
前面確認攻擊者是哪個ip,但是為瞭保障ip正確我在公司的一些記錄裡找到瞭有這個ip來訪,那麼已經得到瞭一定的保障這個ip是對的,發現瞭這個ip來自xx省xx市,那麼得到瞭ip之後接下來是要對這個ip進行定位,在找到這個攻擊者的聯系方式,我利用瞭某站的定位測試瞭一下
定位測試在這一塊區域2774米內,為瞭確保定位測試正確,我使用其他接口再一次定位這個ip,以及用谷歌硬件查詢他的經緯度地址,他的ip就在2774米內是最準確的數據
0×04
接下來我要在這塊區域找到這個黑客的聯系方式,我們每個人必用的社交軟件有qq,微信 差不多就這兩個是在手機電腦裡的,其他月餅成型機的應該比較少,我之前寫過一篇,(定位日站大法-之社會工程學)也發在i春秋社區裡面,因為這篇文章寫的內容也是有一處相關的,這裡我也就利用到這篇文章其中一張圖片,為瞭不泄露測試的目標就用一下,使用到的是qq的漫遊定位功能,有些人說qq沒法定位,因為qq高版本的好像沒有瞭qq漫遊定位這個功能,所以先下載16年的版本測試吧。
因為這裡我在2000多米的范圍內進行定位然後在找到附近的人,然後還要進一步瞭解,這肯定是要消耗大量時間的,而且需要運氣的,因為我是找到的每一個都放入http://www.zhaohuini.com/ 查找註冊過的網站,以及百度搜索這些qq的信息,看看有沒有什麼重要的確認點沒,經過一番查找,查找到瞭一個qq曾經註冊過許多安全類型的論壇,和idc網站
0×05
添加瞭該qq,對他的空間訪問,查看看見瞭許多掛其他網站的黑連接,黑頁之類的,感覺應該是這個人,但是這個人沒有發佈我們公司網站的記錄,因為我們公司的網站是存反射性xss的可能是黑客沒有發現漏洞吧!但是wvs掃描器應該會找到這個漏洞的,判斷過程中不敢明確是這個人對我們網站掃描,因為我在經緯度定位中定位到瞭找到瞭一個這樣的人是非常可疑但是“也有可能不是”這個人。
先發出來,因為定位到那邊這個qq是在一個中學附近定位到的所以那個中學說不定他們這兩個人是同學,暫時不敢確認是這個人,後面我還會繼續找這個攻擊者的聯系方式的,他們的學校官網目前也是關閉狀態導致我無法更加深入的去瞭解。(rosectow)返回搜狐,查看更多
責任編輯:
聲明:本文由入駐搜狐號的作者撰寫,除搜狐官方賬號外,觀點僅代表作者本人,不代表搜狐立場。
閱讀 ()
台灣電動床工廠
電動床
台灣電動床工廠
電動床
AUGI SPORTS|重機車靴|重機車靴推薦|重機專用車靴|重機防摔鞋|重機防摔鞋推薦|重機防摔鞋
AUGI SPORTS|augisports|racing boots|urban boots|motorcycle boots
一川抽水肥清理行|台中抽水肥|台中市抽水肥|台中抽水肥推薦|台中抽水肥價格|台中水肥清運
X戰警多鏡頭行車記錄器專業網|多鏡頭行車記錄器|多鏡頭行車紀錄器比較|多鏡頭行車紀錄器推薦|多鏡頭行車紀錄器影片
台中抽水肥專業網|台中抽水肥|台中市抽水肥|台中抽水肥推薦|台中抽水肥價格|台中水肥清運
台灣靜電機批發工廠|靜電機|靜電機推薦|靜電油煙處理機|靜電油煙處理機推薦
優美環保科技工程-靜電機,靜電機推薦,靜電機保養,靜電機清洗,靜電油煙處理機
文章標籤
全站熱搜
留言列表
