未分類
8 11 月 2023

被刷7Tb+.追根溯源,找到凶手,谨防LOC论坛小人.长图文

kieng 大佬有话说 :

被刷7Tb+.追根溯源,找到凶手,谨防LOC论坛小人.长图文

本帖最后由 kieng 于 2023-11-2 19:17 编辑

防止一些问题,部分信息已打码.

2023/11/01 10:00:00 – 2023/11/01 19:00:00

我的博客收到了CC恶意刷流量.总被刷流量:7.25T+.

我剩余2T+的CDN流量.已被刷没,还另外收到了了1.3K的账单.

欠费截图:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698900693707_%E6%AC%A0%E8%B4%B9%E6%88%AA%E5%9B%BE.png

寻找到攻击人

– 1.通过华为云的日志,找到攻击人的IP地址.

华为云日志截图(为防止采集站采集到我博客地址,我博客已打码):

https://lcap-static-saas.nos-eastchina1.126.net/app/1698900842684_%E6%97%A5%E5%BF%97%E6%88%AA%E5%9B%BE.png

https://lcap-static-saas.nos-eastchina1.126.net/app/1698901509061_%E6%97%A5%E5%BF%97%E6%88%AA%E5%9B%BE2.png

在攻击之前日志记录的IP为:
`112.227.226.*` (IP归属地为: 中国山东省淄博市张店区 联通)

往往犯罪嫌疑人在重新出现在现场,只需看一下被攻击之前和之后的日志,就能找到攻击人的真实IP.

主要攻击IP为:
`109.238.11.157` `109.238.12.38` `51.158.148.100` `104.28.211.186`

以上IP曾经绑定的域名为:
`pthz.asia“pthz.ltd`….(为什么要说这几个域名.因为攻击者这个人就是买PT盒子的)

我不小心登录到了服务器上.

打开历史命令发现点有趣的东西:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698901577297_%E8%AE%B0%E5%BD%951.png

还攻击了`img.gumengya.com` `xiyu.pro` `cos.tigerroot.cn` 如果站长也在论坛里,也看看.

PS:这小子还挺狗币啊 还指定HOST攻击我:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698902913289_%E6%8C%87%E5%AE%9Ahost.png

我得到了他的哪吒探针的主控地址:

`https://jk.xfwj.cc/` (现在这小子已经关闭,还好我已经截图了)

这个时候我们打开这个探针:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698901721157_%E6%8E%A2%E9%92%88%E6%88%AA%E5%9B%BE.png

`109.238.*.157` `109.238.*.38` 熟悉吗? 这不是就是攻击人服务器的IP吗?

接着我PING一下这个域名(现在这个老狗币已经把域名解析停止,不过我提前截图了):

https://lcap-static-saas.nos-eastchina1.126.net/app/1698901850583_PING%E6%8E%A2%E9%92%88%E5%9F%9F%E5%90%8D.png

得到了一个良心云HK IP:

`43.134.211.250`

那我们看看这个IP绑定了哪些域名:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698902040400_%E9%A6%99%E6%B8%AFHK%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%BB%91%E5%AE%9A%E7%9A%84%E5%9F%9F%E5%90%8D.png

好的 我们得到了他的这个域名:

`gravatar.zxqme.com` 好巧不巧,这个域名竟然有北岸.那就查询一下吧

https://lcap-static-saas.nos-eastchina1.126.net/app/1698902166966_%E5%A4%87%E6%A1%88%E6%88%AA%E5%9B%BE.png

北岸域名为:`zxqme.com` `zxq1998.top`

北岸信息为某五金店,根据企查查的信息巧了,这个人也是山东的.而且也姓 **张**.(至于为什么我知道攻击者行张是因为他的聊天软件用户名是CarlosZhang)

但是这个企查查的法人名字虽然姓张但是与这位狗币 zxq 不符.

我从而怀疑这个人是攻击者的老爹.

进一步调查,于是我打开了他的博客(`zxqme.com`):

从而分析这个人一定姓张,而且1998年出生.

https://lcap-static-saas.nos-eastchina1.126.net/app/1698902642057_%E7%BD%91%E7%AB%99%E6%88%AA%E5%9B%BE.png

巧了,这二傻子邮箱竟然是QQ邮箱.(PS 原来QQ处写的是他的QQ,现在他改为11111,因为我给他打电话了)

qq号码:`1185209862`

https://lcap-static-saas.nos-eastchina1.126.net/app/1698903311452_QQ%E4%BF%A1%E6%81%AF.png

头像熟悉吧?

有了QQ我就不多说了,不小心知道了他的名字

张*强, 对不? 啊? 小强强?

再来一点证据:

最后登录攻击服务器的IP:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698903105066_%E6%9C%80%E5%90%8E%E7%9A%84%E7%99%BB%E5%BD%95IP.png

博客文章:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698903176588_%E5%8D%9A%E5%AE%A2%E6%96%87%E7%AB%A0.png

记住这个他博客介绍ikoula服务器的文字,后续我加到他好友,他一直在装傻.

loc账号发的联系方式:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698903922426_loc%E8%B4%A6%E5%8F%B7.png

以下为我添加他好友但是装傻的聊天记录:

https://lcap-static-saas.nos-eastchina1.126.net/app/1698908485705_%E8%81%8A%E5%A4%A9%E8%AE%B0%E5%BD%951.png

https://lcap-static-saas.nos-eastchina1.126.net/app/1698908506531_%E8%81%8A%E5%A4%A9%E8%AE%B0%E5%BD%952.png

我们电话联系了一下,死鸭子嘴硬就是不承认啊,可太能装了.

他承认我说的这几个域名是他的,已经录音.

不幸的是证据链已经闭合

请注意这个卑鄙小人:

域名:
zxqme.com
qd.zxq.ee
shop.seedbox.ltd
jk.xfwj.cc
zxq1998.top

t uid:
795172413

t 用户名:
CarlosZhang

姓名:张*强
出生年月:1998年11月
地址:山东省淄博市张店区

LOC账号:
大号:zxq1998
uid:22806

小号:Carlos
uid:58591

github:

https://github.com/zxq1998

PS:
过几天休息去报案,看看法L能不能给我一个公道. /狗头 yc011t

上面的好几个网站他自己都关闭了.还不承认是他做的.这人吧,真是太坏了,无冤无仇,我也不认识他.各位防范这种小人.

欢迎当事人与我对线

——————————————
统一回复一下
1.被攻击的其中一个站长已经与我取的联系.
2.我与那位被攻击的站长和攻击者均完全不认识,一点交集也没有.不清楚被攻击原因.

暴躁老哥 大佬有话说 :

loc好久没有这种精彩的长文了:lol

xiyupro 大佬有话说 :

你好,我是xiyu.pro的站长,我的qq是20702001,微信是cicicirururu,方便加一下我吗,我用一下攻击者的身份信息和攻击截图报案,十分感谢。
跟帖的好兄弟麻烦复制这段话让楼主大大看到,十分感谢:kiss::kiss::kiss::kiss::kiss::kiss::kiss::kiss:

一闪 大佬有话说 :

作为一个常年混迹hostloc的人,我了解到你遇到了一个麻烦,被刷了7Tb+的流量。首先,我要强调的是,我不能直接帮助你追根溯源找到凶手,因为我只是一个AI助手,无法进行具体的技术操作和调查。但是,我可以给你一些建议和指导,希望能对你有所帮助。

首先,你可以尝试通过以下几个步骤来追根溯源找到凶手:

1. 收集证据:首先,你需要收集所有与这次事件相关的证据,包括日志、IP地址、访问记录等。这些证据可以帮助你确定攻击发生的时间、攻击方式以及攻击者的IP地址等信息。

2. 分析日志:将收集到的日志进行仔细分析,查找可疑的活动和异常行为。你可以寻找大量流量的来源、频率以及访问的目标等信息,这些都可能是攻击者的痕迹。

3. IP追踪:通过攻击发生时的IP地址,使用网络工具进行IP追踪,帮助你确定攻击者的地理位置。但需要注意的是,攻击者很可能使用代理服务器或者虚拟私人网络(扶墙)等工具来隐藏真实IP地址,所以这个方法并不总是有效。

4. 寻求专业帮助:如果你觉得自己无法处理这个问题或者需要更高级的技术支持,可以考虑寻求专业的网络安全团队或者咨询公司的帮助。他们有更深入的技术知识和丰富的经

xiyupro 大佬有话说 :

你好,我是xiyu.pro的站长,我的qq是20702001,微信是cicicirururu,方便加一下我吗,我用一下攻击者的身份信息和攻击截图报案,十分感谢

红蜘蛛 大佬有话说 :

让他背上案底 以后做什么都不好做 对付恶人请你一定不要手软

paggy 大佬有话说 :

支持,细说下怎么不小心登录到他服务器的

mobile 大佬有话说 :

两刀砍死他亲妈

whoareyou 大佬有话说 :

@zxq1998@Carlos出来对线了

greencloudvps 大佬有话说 :

支持

https://hostloc.com/static/image/common/sigline.gif
超便宜IEPL流量转发 | DMIT高防CN2GIA
探针XYZ | DMIT交流群 | 日本VPS交流群

shijinqiang 大佬有话说 :

这点钱b案木有用的

feitian 大佬有话说 :

吃瓜群众持续关注

;P

gmzx123 大佬有话说 :

这种随随便便刷流量的人是真的恶心… MJJ上剑皇!

szj1006 大佬有话说 :

社会工程学算是让你玩透了;P

Microcharon 大佬有话说 :

不错,支持一下 :lol

e4rljia 大佬有话说 :

这盒开的爽啊,火钳刘明https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif

dragonfsky 大佬有话说 :

大佬牛逼 看来还是不能用国内的cdn 一不小心倾家荡产了yc006t

自来光 大佬有话说 :

不错