反擊黑客之對網站攻擊者的IP追蹤

作者：rosectow

來源：i春秋社區

前言

ip追蹤是一件比較難實現的，因為我只有一個ip，而且在沒有任何技術支持下對該ip追蹤，同時我在公司也沒有伺服器許可權，僅有後台，一般的ip追蹤技術分類，反應式ip追蹤，主動式的追蹤，分享的只是一個過程，提供一個思路我不敢保證每個人都能這樣成功利用,

早晨起床上班像往常一樣，打開電腦，吃一份早餐，看看i春秋學習技術，在打開公司的網站做一份數據統計，但是今天打開網站的cnzz統計時不向往常那樣了，發現顯示在今天來路域名中有一個網站看著很熟悉，仔細看清楚這個不是awvs的掃描地址嗎？

0x01

很疑問難道有黑客要來黑網站，發現單獨一個ip對網站的訪問次數是64次，wvs幫他掃描了64，不過這個次數數據有可能不準確，突然想起了在Freebuf裡面看過大牛寫過「論如何反擊用AWVS的黑客」內容相當精彩，但是我這一次是要對這掃描者進行追蹤，freebuf那邊那篇是故意讓黑客來訪問他的攻擊頁面，所以利用不上，不過也是學習了，想看看是誰想要來攻擊網站，因為網站多次給掃描了，這不是第一次了，所以不能每次只做防禦，也要讓這個黑客收手吧！

Cnzz裡面有許多的信息可以尋找，而且我們網站也有記錄一些信息，今天早上網站的訪問量不是很多，找起來也就方便許多，uv 1000個 ip 900多個差不多這樣，根據流量趨勢中發現了在9點到10點這段時間uv 跟ip 90多個但是PV是800多，分析出這段時間是黑客對網站進行掃描的時間

於是我在明細中，找到了一個可疑的ip，這個ip在這個9-10的時間段，這個ip訪問了兩百多次，但是仔細看了一下另外這個訪問兩百多次的ip是我們公司的ip，事實證明了這個不是攻擊者的ip，其中還有一個ip在網站點擊了100多次，平均是1秒點擊3個頁面，跳出率是百分之百根據分析是wvs在進行掃描，這個ip就是攻擊者的ip。

想到這個ip可能是代理ip可能不是黑客的真實ip，因為公司網站中添加了一些「獲取客戶端」真實ip防止黑客使用代理訪問

參考https://my.oschina.net/geekice/blog/149556 nginx反向代理httpd獲取用戶真實ip

0x02

公司的網站是jsp這裡我就貼上Java的獲取真實ip的後端代碼，下面了解一下這些代碼

public String getClientIP(HttpServletRequest request) {nString ip = request.getHeader("x-forwarded-for");nif(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {nip = request.getHeader("Proxy-Client-IP");n}nif(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {nip = request.getHeader("WL-Proxy-Client-IP");n n}nif(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {nip = request.getRemoteAddr();n}nreturn ip;n}n

public String getClientIP (HttpServletRequest request)n

得到用戶的公網（代理）ip 然後在對用戶發起一次http請求

String ip = request.getHeader("x-forwarded-for");n

請求獲取x-forwarded-for ，x-forwarded-for就是請求獲取http訪問的真實ip

大致的過程也就是這樣來獲取，下面的代碼是判斷ip之類的，這個Java的代碼目的也是獲取http訪問的真實ip，下面的就不做解釋了，理解他的主要功能就行

如果想深入了解的可以看看，下面這篇文章，寫的很經常，也是寫nginx 反向的一些東西

http://www.cnblogs.com/zhengyun_ustc/archive/2012/09/19/getremoteaddr.html

0x03

前面確認攻擊者是哪個ip，但是為了保障ip正確我在公司的一些記錄里找到了有這個ip來訪，那麼已經得到了一定的保障這個ip是對的，發現了這個ip來自xx省xx市，那麼得到了ip之後接下來是要對這個ip進行定位，在找到這個攻擊者的聯繫方式，我利用了某站的定位測試了一下

定位測試在這一塊區域2774米內，為了確保定位測試正確，我使用其他介面再一次定位這個ip，以及用谷歌硬體查詢他的經緯度地址，他的ip就在2774米內是最準確的數據

0x04

接下來我要在這塊區域找到這個黑客的聯繫方式，我們每個人必用的社交軟體有qq，微信 差不多就這兩個是在手機電腦里的，其他的應該比較少，我之前寫過一篇，（定位日站大法-之社會工程學）也發在i春秋社區裡面，因為這篇文章寫的內容也是有一處相關的，這裡我也就利用到這篇文章其中一張圖片，為了不泄露測試的目標就用一下，使用到的是qq的漫遊定位功能，有些人說qq沒法定位，因為qq高版本的好像沒有了qq漫遊定位這個功能，所以先下載16年的版本測試吧。

因為這裡我在2000多米的範圍內進行定位然後在找到附近的人，然後還要進一步了解，這肯定是要消耗大量時間的，而且需要運氣的，因為我是找到的每一個都放入http://www.zhaohuini.com/ 查找註冊過的網站，以及百度搜索這些qq的信息，看看有沒有什麼重要的確認點沒，經過一番查找，查找到了一個qq曾經註冊過許多安全類型的論壇，和idc網站

0x05

添加了該qq，對他的空間訪問，查看看見了許多掛其他網站的黑連接，黑頁之類的，感覺應該是這個人，但是這個人沒有發布我們公司網站的記錄，因為我們公司的網站是存反射性xss的可能是黑客沒有發現漏洞吧！但是wvs掃描器應該會找到這個漏洞的，判斷過程中不敢明確是這個人對我們網站掃描，因為我在經緯度定位中定位到了找到了一個這樣的人是非常可疑但是「也有可能不是」這個人。

先發出來，因為定位到那邊這個qq是在一個中學附近定位到的所以那個中學說不定他們這兩個人是同學，暫時不敢確認是這個人，後面我還會繼續找這個攻擊者的聯繫方式的，他們的學校官網目前也是關閉狀態導致我無法更加深入的去了解。