IP太多了，要光在日志里找出哪個(gè)是攻擊者需要花費(fèi)很長(zhǎng)時(shí)間。于是我決定主動(dòng)去釣魚黑客，讓黑客乖乖把IP告訴我。

所謂釣魚，便是愿者上鉤。其實(shí)愿不愿也不是誰(shuí)說(shuō)了算，只要足夠倒霉就OK了。

既然黑客喜歡玩Webshell，我就從Webshell下手。我的計(jì)劃是這樣的：在Webshell里嵌入一段代碼，當(dāng)黑客訪問(wèn)Webshell的時(shí)候，這段代碼會(huì)向我網(wǎng)站發(fā)出一條請(qǐng)求，然后我就記錄下他的IP地址。

說(shuō)干就干。

再次求助萬(wàn)能的淘寶——買了個(gè)別人注冊(cè)的域名(這樣Whois信息就是別人的了，嘿嘿)。接著再去Openshift(你可以理解成免費(fèi)的云主機(jī))上注冊(cè)個(gè)賬號(hào)，再把買來(lái)的域名綁定在Openshift上(Openshift提供的免費(fèi)域名會(huì)被墻的，得自己綁定個(gè))。

為什么要用Openshift呢，因?yàn)槲铱梢杂胹sh遠(yuǎn)程登陸到Openshift的賬號(hào)服務(wù)器上查看Apache日志。

準(zhǔn)備過(guò)程是這樣的。

先把一批Webshell導(dǎo)出到一個(gè)文本文件里，再寫了一個(gè)Python腳本批量去插代碼，這個(gè)腳本負(fù)責(zé)遍歷文本里每一個(gè)Webshell地址，自動(dòng)登陸后，在Webshell的文件列表里找到自身文件，并在自身文件里插入一段HTML代碼。這是一段什么樣的什么代碼呢，其實(shí)就是一行HTML代碼，哈哈哈：

<img src=”http://www.xxx.com/xxx.php”/>

這樣，黑客用瀏覽器訪問(wèn)Webshell的時(shí)候，瀏覽器會(huì)把它當(dāng)做一張圖片加載，要加載圖片就必須先請(qǐng)求http://www.xxx.com/xxx.php——這樣就完成了主動(dòng)請(qǐng)求了。為了掩人耳目，xxx.php是一個(gè)不存在的文件，但請(qǐng)求的內(nèi)容會(huì)被記錄到Apache日志里，我只用ssh登陸到Openshift上看Apache的日志文件，看哪些IP請(qǐng)求過(guò)這個(gè)文件了。

跑了一會(huì)兒后，我有點(diǎn)小后悔——不應(yīng)該用img標(biāo)簽的，畢竟圖片沒(méi)加載成功，瀏覽器會(huì)顯示一張叉叉圖片，很容易被看到，不過(guò)用script怕黑客的瀏覽器禁用了腳本——遇到過(guò)好多次了。算了，不管了，等黑客訪問(wèn)后，我再改動(dòng)下腳本，批量把那段img代碼刪除掉。

地下黑客總是很勤快的，還不到半個(gè)小時(shí)他就來(lái)訪問(wèn)了。

有圖有真相，高清打碼，看看黑客訪問(wèn)的日志記錄。

27.116.***.**就是黑客用的IP了，來(lái)自柬埔寨。憑直覺(jué)，我相信這是國(guó)內(nèi)的黑客干的。

我老師曾經(jīng)在我離校前，給我說(shuō)，有機(jī)會(huì)就買買彩票，說(shuō)不定就會(huì)中。

所以我做事一向喜歡憑感覺(jué)、撞運(yùn)氣。這次我的感覺(jué)是：加速樂(lè)服務(wù)了那么多網(wǎng)站，日志中怎么也得有這個(gè)IP的訪問(wèn)記錄吧。

下班之前，在Hive里寫了條查詢語(yǔ)句，導(dǎo)出這個(gè)IP的一個(gè)月的日志，佛祖保佑吧。