以下内容来自公众号逆锋起笔,关注每日干货及时送达
今天我在知乎看到一个提问:
在下面回答区,我看到网友分享的真实案例,大家可以看一下,顺便了解一下网络溯源是怎么一回事,也给大家一些启示。
我朋友在创业,听说他公司被人搞了,请我去帮忙看下。
我发现他们公司服务器会反连一个域名叫:http://yk.syncn.org
于是我查了下这个域名
手机号明显是假的不用说了,邮件看着倒是真的,顺藤摸瓜看了下这个人的gmail
通过忘记密码,发现手机号末尾两位:
*********67
继续看了下这个人注册的相关域名。
除了yk.syncn.org, 还注册了
http://spacework.co
http://btsoso.org
http://xiasidiele.com
别着急,咱们一个一个地看。
我发现“btsoso.org”在百度中居然还能搜到一些东西。
有名为“space”和“spac”的网民对该域名进行过推广,并留有qq(956308460)联系方式
这个QQ号的昵称叫SB
照着这个QQ号人肉一番,发现这个QQ号做名字在“红客联盟”、“暗组技术论坛”、“合购网”等多个黑客交流论坛发布信息。
那就,翻下他的帖子?
发现主要关注“webshell”、“木马免杀”、“远程控制”。想再深入挖掘下,于是就想起了QQ特么不是有邮箱么!
用http://threatbook.cn查了下956308460@qq.com注册的网站,发现大部分都叫kong ge。
太没新意了,你说这帮做黑客的就不能摒弃"哥"这个占便宜的称谓么,袁哥,黑哥,泉哥,能不能有点新意!能不能!?(最后发现人家其实叫空格........可见我对安全圈哥哥哥之类的称谓深恶痛绝)
拿着"空哥"的邮箱,去翻了下已经公开的信息,发现这个邮箱跟另一个邮箱高度关联10391516XX@qq.com。而且登录账号的地址都是广东省清远市。
没找到手机相关的信息。然后拿着两个qq号,去各个网站找回密码等地方去碰撞,终于把手机碰出5位。是"132****5767"。
中间的星号看不见,但其实中间4位是能猜的,地址是广东清远,前三位是132,排查下就能知道,具体我这里就不透露了。
拿到手机号之后,然后根据手机号查询微信,再结合用QQ查微信,发现都是一个人,基本上确认没错。
然后用这个手机号再去网上搜下,发现能找到这个人的身份证441801******144617(我打码了)。
身份证手机号都知道了。拿着这个手机号翻支付宝,发现这个人叫曾*锋,支付宝的邮箱是space***@163.com(我又打码了)。
又有新信息可以清洗了,还可以再拿这个邮箱再查。但没必要了,想知道的都知道了。
这大概就是追查流程,其实无外乎几点吧。
所以人在江湖飘,尽量用小号,别把自己的信息到处留,保不准哪一天就成了别人人肉的线索。
扫一扫
1168
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
