周六早上，成都出現(xiàn)了久違的太陽，多美好的一天啊，原本可以陪女朋友出去逛街的，但是，作為正義化身的我，為了揪出那些邪惡的黑客，決定犧牲陪女朋友的時間。

一大早爬起床，打開筆記本，連上公司的VPN，登陸內(nèi)網(wǎng)日志分析，繼續(xù)昨日的分析工作。

當(dāng)前最重要的是先知道黑客是用什么手段攻擊了這么多網(wǎng)站，所以我假定請求/data/in***.php的IP就是攻擊者，然后分析這些IP歷史上的攻擊行為。經(jīng)過一整理，請求過/data/in***.php的IP實在是太多了，而且全世界各個國家的IP都有啊，這樣一來，攻擊者很難定位啊——很明顯是僵尸群。

嘿嘿，我突然想到個小思路，既然加速服務(wù)的日志太多，那我去分析下被黑網(wǎng)站的日志不就行了嘛，里面總有記錄吧。我先看看有哪些網(wǎng)站是用的虛擬主機，或許日志單獨存放在它網(wǎng)站目錄中的，如果有我可以考慮給他下載下來做分析——當(dāng)然把別人主機提權(quán)了是不對的事兒，我怎么能做這種事兒呢。不過，先阿彌陀佛觀世音如來佛祖保佑日志不要都被黑客刪了(站長們啊，保護日志很重要啊@￥#%……&*)。

找啊找啊，我發(fā)現(xiàn)一個倒霉鬼，目錄里躺了好幾十個Webshell，這種新鮮場面讓我短暫忘記是找日志了，而跑去翻目錄里的好東西了。正在為這個網(wǎng)站中了幾十個Webshell而感慨時，我手一抖，點了個鏈接，頁面重載，突然彈出一個提示，嚇得我背都涼了：

鎮(zhèn)定，鎮(zhèn)定，不要害怕——就這么安慰著自己。其實我內(nèi)心還是害怕的，畢竟不是我黑的，如果管理員認定是我干的，那我豈不是很冤枉嗎。

我內(nèi)心恐懼，截了個圖發(fā)微信里問大家該怎么辦。

“這個好，有意思啊，趕緊想辦法聯(lián)系他，說不定就是黑客寫的呢!”老楊首先回了我。

嗯…老楊的話里字字充滿了深刻的道理，還好我前幾天在萬能的淘寶上花了幾十塊錢買了個號碼還不錯、等級也高的QQ號。常在江湖漂，馬甲是必備的，以前我有個馬甲QQ號，不過因為等級太低了，那些黑客都不屑跟我聊天，痛定思痛，才花了幾頓飯的錢買了個QQ號。

對方很快通過好友請求。

在加他之前，我頭腦里已經(jīng)模擬了各種可能出現(xiàn)的情況，比如如果是站長的話，他要報警啊、要弄死我啊等等;是黑客的話，他恐嚇我啊、威脅我啊啊等等。所以我已經(jīng)做好了充足的心理準備。

我：“xxx.com 這個網(wǎng)站是你的嗎?

神秘人：“以前是，有什么問題?”

我：“是你黑了這個網(wǎng)站才對吧!里面被你放了好多Webshell。”

神秘人：“?這是我的網(wǎng)站啊。只是很久沒看過了。”

神秘人：“哦，Webshell果然很多，多謝提醒啊!”

他的回復(fù)讓我摸不著頭腦，看上去他好像真是站長，而且還不知道網(wǎng)站被黑了。難道…剛才那提示不是他特意給我發(fā)的了。我罵自己手賤啊，那么急急忙忙就去加別人啊，別惹了一身騷啊。我趕緊用瀏覽器查看了下Webshell頁面的源碼，竟然沒看到彈出提示的那段Javascript代碼。就當(dāng)我在Webshell里點跳轉(zhuǎn)路徑時，那個警告提示又彈了出來。

哈，這下我總算明白了，原來跳轉(zhuǎn)的路徑是放在URL參數(shù)里的，而因為參數(shù)中帶有“../”字符，被他的WAF攔截了!這個是WAF返回的提示信息，可不是什么管理員發(fā)現(xiàn)了我后專門寫的警告。呵呵，看來一向善良的我不太適合做壞事，遇到壞事就嚇尿了，就變得很不鎮(zhèn)定。不過后來事實告訴我，我沒有白加他QQ。

虛驚一場。對方也虛驚一場。于是我亮出自己的身份，對方也頓時對我沒了警惕心。然后我倆聊得很High，仿佛我倆上輩子就認識一樣。他說他家人也在成都，他也來成都玩過。所以我說，“下次來成都一定找我，定請你吃飯”。

當(dāng)然我不能白請他吃飯咯，哈哈。接著我露出本來面目：“兄弟，可不可以提供下跟那個Webshell路徑有關(guān)的日志呢。”，打了這句話后面，還跟了一個看起來很無辜的QQ表情。

好兄弟就是好兄弟，專程幫我整理好日志傳給我。

他的日志簡直幫了大忙啊!我在日志里找到黑客攻擊時用的IP了:

接著拿到這個IP后，把它從加速服務(wù)日志系統(tǒng)中導(dǎo)出來做分析!這下找到攻擊用的漏洞了：

攻擊代碼是：

/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]

=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2

[]=32&arrs2[]

這個漏洞已經(jīng)公開了幾個月了，怎么還有這么多網(wǎng)站被黑啊，難道管理員都沒更新網(wǎng)站系統(tǒng)嗎?于是我大概統(tǒng)計了下DeDeCMS補丁更新情況，屁顛屁顛搞了許久，終于繪制了張餅圖：

看來有接近一半的用戶沒打新補丁。

雖然是找到黑客用什么漏洞發(fā)動的攻擊，但是發(fā)動攻擊的這個IP依舊是一臺肉雞IP，而且攻擊完全是自動化的，所以要找到黑客用的IP還需要進一步努力啊，黑客你躲好了嗎，我來啦。