我朋友在創業,聽說他公司網站被人搞了,請我去幫忙看下。
我發現他們公司服務器會反鏈一個域名叫http://yk.syncn.org。于是我查了下這個域名
https://www.virusbook.cn/domain/yk.syncn.org
手機號明顯是假的不用說了,郵件看著倒是真的,順藤摸瓜看了下這個人的gmail找回手機號:*********67。
于是看了下這個人注冊的相關域名。
除了yk.syncn.org, 還注冊了http://spacework.co、http://btsoso.org、http://xiasidiele.com。別著急,咱們一個一個的看。
我發現“btsoso.org”在百度中居然還能搜到一些東西。有名為“space”和“spac”的網民對該域名進行過推廣,并留有qq(956308460)聯系方式
這個QQ號的昵稱叫SB
照著這個QQ號人肉一番,發現這個QQ號做名字在“紅客聯盟”、“暗組技術論壇”、“合購網”等多個黑客交流論壇發布信息。那就,翻了下他帖子?發現主要關注“webshell”、“木馬免殺”、“遠程控制”。想在深入挖掘下,于是就想起了QQ特么不是有郵箱么!
用http://threatbook.cn查了下956308460@qq.com注冊的網站,發現大部分都叫kong ge。太沒新意了,你說這幫做黑客的就不能摒棄"哥"這個占便宜的稱謂么,袁哥,黑哥,泉哥,能不能有點新意!能不能!?(最后發現人家其實叫空 格........可見我對安全圈哥哥哥之類的稱謂深惡痛絕)
拿著"空哥"的郵箱,去翻了下已經公開的社公庫,發現這個郵箱跟另一個郵箱高度關聯1039151694@qq.com。而且登錄賬號的地址都是廣東省清遠市。社公庫里沒找到手機相關的信息。
然后拿著兩個qq號,去各個網站找回密碼等地方去碰撞,終于把手機碰出5位。是"132****5767"。中間的星號看不見。我們設置為x。玩笑。。。
但其實中間4位是能猜的,地址是廣東清遠,前三位是132,排查下就能知道,手機號是13232815767。然后根據手機號翻微信,用1039151694翻微信,發現都是一個人,基本上確認沒錯。
然后用這個手機號再去社公庫查下,發現能找到這個人的身份證441801******144617(我打碼了)。
身份證手機號 都知道了。拿著這個手機號翻支付寶,發現這個人叫曾劍鋒,支付寶的郵箱是spacesyn@163.com。又有新信息可以清洗了,還可以再拿這個郵箱再查。但沒必要了,想知道的都知道了。
這大概就是追查流程。
蘇公網安備32050802010292號