IP太多了，要光在日志里找出哪個是攻擊者需要花費很長時間。于是我決定主動去釣魚黑客，讓黑客乖乖把IP告訴我。

所謂釣魚，便是愿者上鉤。其實愿不愿也不是誰說了算，只要足夠倒霉就OK了。

既然黑客喜歡玩Webshell，我就從Webshell下手。我的計劃是這樣的：在Webshell里嵌入一段代碼，當黑客訪問Webshell的時候，這段代碼會向我網(wǎng)站發(fā)出一條請求，然后我就記錄下他的IP地址。

說干就干。

再次求助萬能的淘寶——買了個別人注冊的域名(這樣Whois信息就是別人的了，嘿嘿)。接著再去Openshift(你可以理解成免費的云主機)上注冊個賬號，再把買來的域名綁定在Openshift上(Openshift提供的免費域名會被墻的，得自己綁定個)。

為什么要用Openshift呢，因為我可以用ssh遠程登陸到Openshift的賬號服務器上查看Apache日志。

準備過程是這樣的。

先把一批Webshell導出到一個文本文件里，再寫了一個Python腳本批量去插代碼，這個腳本負責遍歷文本里每一個Webshell地址，自動登陸后，在Webshell的文件列表里找到自身文件，并在自身文件里插入一段HTML代碼。這是一段什么樣的什么代碼呢，其實就是一行HTML代碼，哈哈哈：

<img src=”http://www.xxx.com/xxx.php”/>

這樣，黑客用瀏覽器訪問Webshell的時候，瀏覽器會把它當做一張圖片加載，要加載圖片就必須先請求http://www.xxx.com/xxx.php——這樣就完成了主動請求了。為了掩人耳目，xxx.php是一個不存在的文件，但請求的內容會被記錄到Apache日志里，我只用ssh登陸到Openshift上看Apache的日志文件，看哪些IP請求過這個文件了。

跑了一會兒后，我有點小后悔——不應該用img標簽的，畢竟圖片沒加載成功，瀏覽器會顯示一張叉叉圖片，很容易被看到，不過用script怕黑客的瀏覽器禁用了腳本——遇到過好多次了。算了，不管了，等黑客訪問后，我再改動下腳本，批量把那段img代碼刪除掉。

地下黑客總是很勤快的，還不到半個小時他就來訪問了。

有圖有真相，高清打碼，看看黑客訪問的日志記錄。

27.116.***.**就是黑客用的IP了，來自柬埔寨。憑直覺，我相信這是國內的黑客干的。

我老師曾經(jīng)在我離校前，給我說，有機會就買買彩票，說不定就會中。

所以我做事一向喜歡憑感覺、撞運氣。這次我的感覺是：加速樂服務了那么多網(wǎng)站，日志中怎么也得有這個IP的訪問記錄吧。

下班之前，在Hive里寫了條查詢語句，導出這個IP的一個月的日志，佛祖保佑吧。