记一次国护期间如窜稀般通畅的溯源经历

最近在HVV，昨晚在值班的时候，突然通知要拉练，本来挺紧绷的，但是前半夜基本没啥告警，人快要睡着了，突然一条weblogic的反序列化告警弹到了我脸上，就有了今天这篇文章，信息如下

在请求载荷中发现JDNI注入存放恶意类文件的服务器地址，于是乎拿着这个地址到微步平台上搜索

发现是一台腾讯云服务器，到这里我已经发现不对劲了，正常红咋会拿国内服务器做扫描，感觉有搞头，发现有域名解析记录，还没过期

接着去查这个域名是否有备案，结果一查，我尼玛真有，还有注册公司

发现存在公司，那么肯定有联系方式，我这里是在风🐦上面查的

发现这个公司只有一个人，就一些基本信息，其它啥都没有，这时候我就意识到，可能是学生自己注册一个公司盖实习公章的，然后这里获取到了他的联系电话，大连的，去👖里面查

其实这个部门就是学校，到这里大概信息就出来了，点到为止没必要接着下去了(主要是今年溯源没分)，这里V和Q也都出来，如果是本人甚至可以打电话吓吓他，但是我没有那么恶趣味。

整个过程行云流水太顺畅了，我一边查一边绷不住笑，我都开始怀疑人生了(真有这种傻逼🐎)，这里推测有两种情况

1. 这台服务器是肉🐔，压根不是自己的所以无所谓。
2. 这个人是代红也就是我们常说的影子队，一点反溯源意识的没有，没什么技术，别人跟他说一分多少💴，就屁颠屁颠来扫。

第一种情况没啥说的，如果是第二种情况我只能说傻，因为影子队是没有授权的，给溯源到就是进🍊，蓝方不调解就是三年期步，何必呢，而且就算拿分了，给多少也是中介说了算，人家说有就是有，真的没必要，前两天刚有一个我知道进🍊在调解的，如果我溯到的信息是真的，要追究的话，这位兄弟就得三年起步了。

最后分享一张溯源的思路图

原文始发于微信公众号（菜狗安全）：记一次国护期间如窜稀般通畅的溯源经历