一次有趣的溯源反制

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

本文产生的核心在于客户单位的防守着实牛皮，因此在下才有这个时间对攻击IP进行小小的反制尝试，虽然本文用到的技术一般，但是怎么说呢，重在丝滑是吧。好了，话不多说，直接开始正文。

在百无聊赖的日志监控工作中，终于发现了一个攻击IP展开的一系列扫描行为，那还说啥，直接怼它，IP反查一波域名。

直接访问，发现域名有建站系统，而且看起来和互联网联系不大，那看来可能就是攻击者用的肉鸡环境了，按道理我不应该继续下去的，因为不一定会有收获，但奈何我百无聊赖嘛。

一顿操作，发现存在上传JD的地方，话不多说，直接上马子。

好家伙，马子是丝滑的上传上去了，但是一访问发现82端口居然无法访问，如下。

正在我一筹莫展时，发现80端口的服务也可以访问，一顿操作后发现存在目录遍历漏洞，并且看到了我上传的记录。

有点意思，直接访问如下，好了，看来文件是存在的。

直接上去操作后，确定确实是攻击我方的服务器。

简单地看了一下，不难发现确实存在大量遗留的攻击记录。

到这里本文就结束了，虽然实际上溯源是定位到了攻击者的，但是由于截图缺失，也就只能到这了。简单描述一下后续的操作过程，相当于对这台服务器做了一次简单的应急响应，巧的是攻击者用的外联设备是自己注册的，于是嘛，就很丝滑。

原文始发于微信公众号（安全无界）：一次有趣的溯源反制