2019年5月中旬，蜜罐体系监测到了一同进犯事情，引起了咱们的留意，小伙伴们敏捷跟进分析，并经过技术手段拿下黑客操控端服务器，发现黑客运用了一款名为“神起ddos集群”的软件，操控了3000+的僵尸 *** 肉鸡，经分析发现该僵尸 *** 首要运用路由器、摄像头号设备，且规划数量在继续添加。
下面来看看咱们是怎么一步步发现并溯源该僵尸 *** 的。
1    蜜罐告警
首要，2019年5月16 日15：47分收到蜜罐一条告警信息，发现有黑客侵略了咱们布置的蜜罐体系，日志如下： 

图 1.1 蜜罐日志
经过日志能够看到，黑客侵略后履行的动作很简略，从长途服务器下载远控木马后履行。经过分析，发现该服务器是用HFS服务建立，有三个样本，其间，样本666是针对 ARM架构设备的，下载量是 3000+；样本s360， s361 是针对x86架构的ELF（linux体系）文件，下载量各在 200+。

图 1.2 HFS服务器
2    进犯反制
经过技术手段反渗透到黑客HFS服务器（详细细节不做泄漏，你懂的），获取了进一步的信息，以下截图为黑 *** 务器桌面，发现黑客运用的是腾讯微云主机，该主机不仅仅下载服务器并且是长途操控主机。

图 2.1 黑 *** 务器桌面
3    黑客行为分析
拿下黑 *** 务器后，服务器上的一些文件引起了咱们的留意，一同来看看这个“专业”的小黑客是怎么一步一步操控归于自己的僵尸 *** 的。
3.1 信息搜集

图 3.1.1 IP段搜集
从服务器上的文件来看，小黑客仍是做了许多准备工作的，包含收拾各种活泼ip端，比方敞开3306、 1433端口的活泼ip：

图 3.1.2 活泼IP段
黑客不只仅搜集了上述IP数据，在“收藏IP 段“这个文件夹里边发现了更多（包含国内各个省份的IP 段）：

图 3.1.3 省份IP段 
IP信息搜集比较广泛，不只有国内各个省份包含IDC机房的IP 段，还有国外多个国家、区域的 IP段：

图 3.1.4 国外服务器IP段

图 3.1.5 国外IP段
3.2 暗码字典
有了上面的IP信息搜集后，黑客还需要一个强壮的字典来完结后面的进犯行为，在服务器上找到了这些暗码字典：

图 3.2.1 暗码字典
发现这些字典仍是很具有针对性的，有通用字典，有专门针对数据库、操作体系的字典，还有专门针对国外服务器的字典：

图 3.2.2 字典示例
3.3 进犯东西
“工欲善其事必先利其器”，有了前面两步的信息之后，就需要有一个高效的自动化进犯东西去完结爆炸和植马，该黑客运用了下面这款东西：

图 3.3.1 SSH爆炸东西
下图是爆炸成功后履行的指令，能够看到跟咱们蜜罐捕获到的日志是共同的：

图 3.3.2  履行指令
看到这儿，你或许会想，这仅仅一个简略的SSH爆炸，真的能有什么作用吗？看一看黑客正在履行的扫描使命便知道了：

[1] [2] [3] [4]  黑客接单网