《一个路径牵出连环血案》之三“向玩webshell的黑客钓鱼”（连载）

IP太多了，要光在日志里找出哪个是攻击者需要花费很长时间。于是我决定主动去钓鱼黑客，让黑客乖乖把IP告诉我。 所谓钓鱼，便是愿者上钩。其实愿不愿也不是谁说了算，只要足够倒霉就OK了。 既然黑客喜欢玩Webshell，我就从Webshell下手。我的计划是这样的：在Webshell里嵌入一段代码，当黑客访问Webshell的时候，这段代码会向我网站发出一条请求，然后我就记录下他的IP地址。 说干就干。 再次求助万能的淘宝——买了个别人注册的域名（这样Whois信息就是别人的了，嘿嘿）。接着再去Openshift（你可以理解成免费的云主机）上注册个账号，再把买来的域名绑定在Openshift上（Openshift提供的免费域名会被墙的，得自己绑定个）。 为什么要用Openshift呢，因为我可以用ssh远程登陆到Openshift的账号服务器上查看Apache日志。 准备过程是这样的。 先把一批Webshell导出到一个文本文件里，再写了一个Python脚本批量去插代码，这个脚本负责遍历文本里每一个Webshell地址，自动登陆后，在Webshell的文件列表里找到自身文件，并在自身文件里插入一段HTML代码。这是一段什么样的什么代码呢，其实就是一行HTML代码，哈哈哈：

<img src=”http://www.xxx.com/xxx.php”/>

这样，黑客用浏览器访问Webshell的时候，浏览器会把它当做一张图片加载，要加载图片就必须先请求http://www.xxx.com/xxx.php——这样就完成了主动请求了。为了掩人耳目，xxx.php是一个不存在的文件，但请求的内容会被记录到Apache日志里，我只用ssh登陆到Openshift上看Apache的日志文件，看哪些IP请求过这个文件了。 跑了一会儿后，我有点小后悔——不应该用img标签的，毕竟图片没加载成功，浏览器会显示一张叉叉图片，很容易被看到，不过用script怕黑客的浏览器禁用了脚本——遇到过好多次了。算了，不管了，等黑客访问后，我再改动下脚本，批量把那段img代码删除掉。 地下黑客总是很勤快的，还不到半个小时他就来访问了。 有图有真相，高清打码，看看黑客访问的日志记录。 27.116.***.**就是黑客用的IP了，来自柬埔寨。凭直觉，我相信这是国内的黑客干的。 我老师曾经在我离校前，给我说，有机会就买买彩票，说不定就会中。 所以我做事一向喜欢凭感觉、撞运气。这次我的感觉是：加速乐服务了那么多网站，日志中怎么也得有这个IP的访问记录吧。 下班之前，在Hive里写了条查询语句，导出这个IP的一个月的日志，佛祖保佑吧。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/