和黑客斗争到底绝不向恶势力低头收网反击中国香港黑客被警方逮捕

前情提要: 上回我们发现了黑客的网站修复并锁定了部分文件,等待黑客再次攻击...

12月29日凌晨

黑客大人没有令我们失望，还是凌晨1点如约而至，依然兴奋的修改着服务器的文件。

我并没有因此而损失惨重，黑客的影响在逐日降低。

原理解析

虽然我们没有很好的反黑客技术和工具，然而黑客可能是一个团队或者技术大佬，但是我们也能冷静分析寻求破局之道。

黑客虽然布置了众多后门，但是我们仍然可以通过分析和替换干净的文件对攻击进行逐步排查。

通过压缩后门出现的范围锁定文件夹和后门文件。

今天的攻击与以往不同的是黑客修改了home文件。

这是黑客伪造的HOEM文件，为了诱骗搜索引擎以及隐藏作案手法，他在META标签里面加入了大量的unicode代码，但是这种行为可能直接暴露了他自己的标的站点。我的目标是自救，然而警方的目标是中国香港的赌博集团。法网恢恢疏而不漏经过4天的织网和排查，现在是我们进行收网的时刻了。

首先我们要自救，这次黑客的确花了很大力气，很多文件都做了特殊的处理，我通过FTP已经无法删除了。然而我们前三天不是吃白饭的，这次虽然动静很大但是所有修改的文件都锁定了来源和变换的代码段。通过4天的蛰伏和织网，一张正义的巨网在你背后悄然张开，警觉之时便是你落网之时，多次的攻击已经暴露了你的位置，你已经无处可逃。

收到污染的还有图片文件伪造的WebShellKiller，不过这些都没有用了。

黑客的攻击明显减弱，之前三天的布控大大压缩了黑客的攻击范围，以前根目录所有文件都会被替换，现在敌人明显已经力不从心，这里只能替换home文件了。可见很多后门被有效替换。

附件文件夹也被大规模的后门文件替换掉落，但是这是意料之中的事情，我对文件夹权限做了很多限制，即使这里遭到污染也没办法修改根目录文件。

整个文件夹都进行了清除和替换，将之前第一天备份的有效干净的文件对这里进行了替换。

这里露出了马脚，羊脚，猪脚，以及牛脚各种脚，修改的日期还没有被掩盖，看来这次攻击进行的很匆忙，因为他刚刚开始攻击就发现自己被监控了。DIY模板文件已经被我锁定。

UC整体的文件都还好只有DATA文件被污染掉了，不过这也是预料中的事情，干完这票我们就去重启服务器。

现在我们清理封闭了所有的安全文件，就剩他了，这是我们要保留路由的文件，等警方监测完毕我们才能删除。

OK了路由已经锁定，警方已经对文件进行了分析。这是一场源自中国香港赌博集团的网络赌博推广，黑客也在中国香港，纵然一国两制但是也不容你触犯国法。

最后我们对文件进行了一次纯净的备份。

12月30日凌晨

黑客没有在攻击进来，我们成功清理了后门文件。

虽然没有任何技术但是成功了防御了黑客的攻击。

次日下午

中国香港赌博黑产被警方捣毁，黑客落网。

经验总结

1. 我们遇到黑客攻击即使是没有技术的草根站长也不要放弃希望

2. 只要顽强抵抗你终究会获得胜利

3. 中国是法制中国，要相信法网恢恢疏而不漏不是不报时候未到没有人能逃脱法律的制裁

4. 遇到越是混乱不堪的情况越要冷静分析

5. 你要比你的敌人更有耐心

6. 如果黑客留下联系方式千万不要试图去联系，否则你可能损失更多

7. 如果你在抵抗的过程中放弃，那么你就输了

8. 防御之法终归被动，一定要做好网站前期管理设置强口令并定期修改，而且不要下载来路不明的插件。

游芯沙盒原创首发严禁转载