反击黑客之对网站攻击者的IP追踪

释放双眼,带上耳机,听听看~!
本文作者:i春秋签约作家——rosectowip追踪是一件比较难实现的,因为我只有一个ip,而且在没有任何技术支持下对该ip追踪,同时我在公司也没有服务器权限,仅有后台,一般的ip追踪技术分类,反应式ip追踪,主动式的追踪,分享的只是一个过程,提供一个思路我不敢保证每个人都能这样成功利用。&n

本文作者:i春秋签约作家——rosectow

ip追踪是一件比较难实现的,因为我只有一个ip,而且在没有任何技术支持下对该ip追踪,同时我在公司也没有服务器权限,仅有后台,一般的ip追踪技术分类,反应式ip追踪,主动式的追踪,分享的只是一个过程,提供一个思路我不敢保证每个人都能这样成功利用。
  

早晨起床上班像往常一样,打开电脑,吃一份早餐,看看i春秋学习技术,在打开公司的网站做一份数据统计,但是今天打开网站的cnzz统计时不向往常那样了,发现显示在今天来路域名中有一个网站看着很熟悉,仔细看清楚这个不是awvs的扫描地址吗?

1.png

0×01

很疑问难道有黑客要来黑网站,发现单独一个ip对网站的访问次数是64次,wvs帮他扫描了64,不过这个次数数据有可能不准确,突然想起了在Freebuf里面看过大牛写过“论如何反击用AWVS的黑客”内容相当精彩,但是我这一次是要对这扫描者进行追踪,freebuf那边那篇是故意让黑客来访问他的攻击页面,所以利用不上,不过也是学习了,想看看是谁想要来攻击网站,因为网站多次给扫描了,这不是第一次了,所以不能每次只做防御,也要让这个黑客收手吧!

Cnzz里面有许多的信息可以寻找,而且我们网站也有记录一些信息,今天早上网站的访问量不是很多,找起来也就方便许多,uv 1000个 ip
900多个差不多这样,根据流量趋势中发现了在9点到10点这段时间uv 跟ip
90多个但是PV是800多,分析出这段时间是黑客对网站进行扫描的时间

2.png

于是我在明细中,找到了一个可疑的ip,这个ip在这个9-10的时间段,这个ip访问了两百多次,但是仔细看了一下另外这个访问两百多次的ip是我们公司的ip,事实证明了这个不是攻击者的ip,其中还有一个ip在网站点击了100多次,平均是1秒点击3个页面,跳出率是百分之百根据分析是wvs在进行扫描,这个ip就是攻击者的ip。

想到这个ip可能是代理ip可能不是黑客的真实ip,因为公司网站中添加了一些“获取客户端”真实ip防止黑客使用代理访问

参考https://my.oschina.net/geekice/blog/149556nginx反向代理httpd获取用户真实ip

0×02

公司的网站是jsp这里我就贴上Java的获取真实ip的后端代码,下面了解一下这些代码

public String getClientIP(HttpServletRequest request) {
String ip = request.getHeader("x-forwarded-for");
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
  
}
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getRemoteAddr();
}
return ip;
}
public String getClientIP (HttpServletRequest request)

得到用户的公网(代理)ip 然后在对用户发起一次http请求

String ip = request.getHeader("x-forwarded-for");

请求获取x-forwarded-for ,x-forwarded-for就是请求获取http访问的真实ip

大致的过程也就是这样来获取,下面的代码是判断ip之类的,这个Java的代码目的也是获取http访问的真实ip,下面的就不做解释了,理解他的主要功能就行

如果想深入了解的可以看看,下面这篇文章,写的很经常,也是写nginx 反向的一些东西

http://www.cnblogs.com/zhengyun_ustc/archive/2012/09/19/getremoteaddr.html

31.png

0×03

前面确认攻击者是哪个ip,但是为了保障ip正确我在公司的一些记录里找到了有这个ip来访,那么已经得到了一定的保障这个ip是对的,发现了这个ip来自xx省xx市,那么得到了ip之后接下来是要对这个ip进行定位,在找到这个攻击者的联系方式,我利用了某站的定位测试了一下

3.png

定位测试在这一块区域2774米内,为了确保定位测试正确,我使用其他接口再一次定位这个ip,以及用谷歌硬件查询他的经纬度地址,他的ip就在2774米内是最准确的数据

4.png

5.png

0×04

接下来我要在这块区域找到这个黑客的联系方式,我们每个人必用的社交软件有qq,微信 差不多就这两个是在手机电脑里的,其他的应该比较少,我之前写过一篇,(定位日站大法-之社会工程学)也发在i春秋社区里面,因为这篇文章写的内容也是有一处相关的,这里我也就利用到这篇文章其中一张图片,为了不泄露测试的目标就用一下,使用到的是qq的漫游定位功能,有些人说qq没法定位,因为qq高版本的好像没有了qq漫游定位这个功能,所以先下载16年的版本测试吧。

6.png

因为这里我在2000多米的范围内进行定位然后在找到附近的人,然后还要进一步了解,这肯定是要消耗大量时间的,而且需要运气的,因为我是找到的每一个都放入http://www.zhaohuini.com/ 查找注册过的网站,以及百度搜索这些qq的信息,看看有没有什么重要的确认点没,经过一番查找,查找到了一个qq曾经注册过许多安全类型的论坛,和idc网站


0×05

添加了该qq,对他的空间访问,查看看见了许多挂其他网站的黑连接,黑页之类的,感觉应该是这个人,但是这个人没有发布我们公司网站的记录,因为我们公司的网站是存反射性xss的可能是黑客没有发现漏洞吧!但是wvs扫描器应该会找到这个漏洞的,判断过程中不敢明确是这个人对我们网站扫描,因为我在经纬度定位中定位到了找到了一个这样的人是非常可疑但是“也有可能不是”这个人。

先发出来,因为定位到那边这个qq是在一个中学附近定位到的所以那个中学说不定他们这两个人是同学,暂时不敢确认是这个人,后面我还会继续找这个攻击者的联系方式的,他们的学校官网目前也是关闭状态导致我无法更加深入的去了解。

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

人人都会数据采集-Scrapy爬虫框架入门

2017-10-24 6:09:14

HackerNews

【DC0571征召】教你混入DEFCON GROUP核心

2017-10-25 8:00:45

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索