周六早上，成都出現(xiàn)了久違的太陽(yáng)，多美好的一天啊，原本可以陪女朋友出去逛街的，但是，作為正義化身的我，為了揪出那些邪惡的黑客，決定犧牲陪女朋友的時(shí)間。

一大早爬起床，打開(kāi)筆記本，連上公司的VPN，登陸內(nèi)網(wǎng)日志分析，繼續(xù)昨日的分析工作。

當(dāng)前最重要的是先知道黑客是用什么手段攻擊了這么多網(wǎng)站，所以我假定請(qǐng)求/data/in***.php的IP就是攻擊者，然后分析這些IP歷史上的攻擊行為。經(jīng)過(guò)一整理，請(qǐng)求過(guò)/data/in***.php的IP實(shí)在是太多了，而且全世界各個(gè)國(guó)家的IP都有啊，這樣一來(lái)，攻擊者很難定位啊——很明顯是僵尸群。

嘿嘿，我突然想到個(gè)小思路，既然加速服務(wù)的日志太多，那我去分析下被黑網(wǎng)站的日志不就行了嘛，里面總有記錄吧。我先看看有哪些網(wǎng)站是用的虛擬主機(jī)，或許日志單獨(dú)存放在它網(wǎng)站目錄中的，如果有我可以考慮給他下載下來(lái)做分析——當(dāng)然把別人主機(jī)提權(quán)了是不對(duì)的事兒，我怎么能做這種事兒呢。不過(guò)，先阿彌陀佛觀世音如來(lái)佛祖保佑日志不要都被黑客刪了(站長(zhǎng)們啊，保護(hù)日志很重要啊@￥#%……&*)。

找啊找啊，我發(fā)現(xiàn)一個(gè)倒霉鬼，目錄里躺了好幾十個(gè)Webshell，這種新鮮場(chǎng)面讓我短暫忘記是找日志了，而跑去翻目錄里的好東西了。正在為這個(gè)網(wǎng)站中了幾十個(gè)Webshell而感慨時(shí)，我手一抖，點(diǎn)了個(gè)鏈接，頁(yè)面重載，突然彈出一個(gè)提示，嚇得我背都涼了：

鎮(zhèn)定，鎮(zhèn)定，不要害怕——就這么安慰著自己。其實(shí)我內(nèi)心還是害怕的，畢竟不是我黑的，如果管理員認(rèn)定是我干的，那我豈不是很冤枉嗎。

我內(nèi)心恐懼，截了個(gè)圖發(fā)微信里問(wèn)大家該怎么辦。

“這個(gè)好，有意思啊，趕緊想辦法聯(lián)系他，說(shuō)不定就是黑客寫(xiě)的呢!”老楊首先回了我。

嗯…老楊的話里字字充滿了深刻的道理，還好我前幾天在萬(wàn)能的淘寶上花了幾十塊錢買了個(gè)號(hào)碼還不錯(cuò)、等級(jí)也高的QQ號(hào)。常在江湖漂，馬甲是必備的，以前我有個(gè)馬甲QQ號(hào)，不過(guò)因?yàn)榈燃?jí)太低了，那些黑客都不屑跟我聊天，痛定思痛，才花了幾頓飯的錢買了個(gè)QQ號(hào)。

對(duì)方很快通過(guò)好友請(qǐng)求。

在加他之前，我頭腦里已經(jīng)模擬了各種可能出現(xiàn)的情況，比如如果是站長(zhǎng)的話，他要報(bào)警啊、要弄死我啊等等;是黑客的話，他恐嚇我啊、威脅我啊啊等等。所以我已經(jīng)做好了充足的心理準(zhǔn)備。

我：“xxx.com 這個(gè)網(wǎng)站是你的嗎?

神秘人：“以前是，有什么問(wèn)題?”

我：“是你黑了這個(gè)網(wǎng)站才對(duì)吧!里面被你放了好多Webshell。”

神秘人：“?這是我的網(wǎng)站啊。只是很久沒(méi)看過(guò)了。”

神秘人：“哦，Webshell果然很多，多謝提醒啊!”

他的回復(fù)讓我摸不著頭腦，看上去他好像真是站長(zhǎng)，而且還不知道網(wǎng)站被黑了。難道…剛才那提示不是他特意給我發(fā)的了。我罵自己手賤啊，那么急急忙忙就去加別人啊，別惹了一身騷啊。我趕緊用瀏覽器查看了下Webshell頁(yè)面的源碼，竟然沒(méi)看到彈出提示的那段Javascript代碼。就當(dāng)我在Webshell里點(diǎn)跳轉(zhuǎn)路徑時(shí)，那個(gè)警告提示又彈了出來(lái)。

哈，這下我總算明白了，原來(lái)跳轉(zhuǎn)的路徑是放在URL參數(shù)里的，而因?yàn)閰?shù)中帶有“../”字符，被他的WAF攔截了!這個(gè)是WAF返回的提示信息，可不是什么管理員發(fā)現(xiàn)了我后專門寫(xiě)的警告。呵呵，看來(lái)一向善良的我不太適合做壞事，遇到壞事就嚇尿了，就變得很不鎮(zhèn)定。不過(guò)后來(lái)事實(shí)告訴我，我沒(méi)有白加他QQ。

虛驚一場(chǎng)。對(duì)方也虛驚一場(chǎng)。于是我亮出自己的身份，對(duì)方也頓時(shí)對(duì)我沒(méi)了警惕心。然后我倆聊得很High，仿佛我倆上輩子就認(rèn)識(shí)一樣。他說(shuō)他家人也在成都，他也來(lái)成都玩過(guò)。所以我說(shuō)，“下次來(lái)成都一定找我，定請(qǐng)你吃飯”。

當(dāng)然我不能白請(qǐng)他吃飯咯，哈哈。接著我露出本來(lái)面目：“兄弟，可不可以提供下跟那個(gè)Webshell路徑有關(guān)的日志呢。”，打了這句話后面，還跟了一個(gè)看起來(lái)很無(wú)辜的QQ表情。

好兄弟就是好兄弟，專程幫我整理好日志傳給我。

他的日志簡(jiǎn)直幫了大忙啊!我在日志里找到黑客攻擊時(shí)用的IP了:

接著拿到這個(gè)IP后，把它從加速服務(wù)日志系統(tǒng)中導(dǎo)出來(lái)做分析!這下找到攻擊用的漏洞了：

攻擊代碼是：

/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]

=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2

[]=32&arrs2[]

這個(gè)漏洞已經(jīng)公開(kāi)了幾個(gè)月了，怎么還有這么多網(wǎng)站被黑啊，難道管理員都沒(méi)更新網(wǎng)站系統(tǒng)嗎?于是我大概統(tǒng)計(jì)了下DeDeCMS補(bǔ)丁更新情況，屁顛屁顛搞了許久，終于繪制了張餅圖：

看來(lái)有接近一半的用戶沒(méi)打新補(bǔ)丁。

雖然是找到黑客用什么漏洞發(fā)動(dòng)的攻擊，但是發(fā)動(dòng)攻擊的這個(gè)IP依舊是一臺(tái)肉雞IP，而且攻擊完全是自動(dòng)化的，所以要找到黑客用的IP還需要進(jìn)一步努力啊，黑客你躲好了嗎，我來(lái)啦。