如何抓到入侵网站的黑客？

shotgun  ，讲故事的黑客

366 人赞同

利益相关：信息安全从业人员，曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。

======

按照时间划分，一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的，那么侦破也相应的可以从这三个部分分别入手。

先来看动机，最难侦破的是无动机犯罪，例如走在街上临时起意做了个案子，回家后洗心革面重新做人，这种案子往往会成为“悬案”，除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的，冲突口角、获取利益、炫耀出名等等，发生计算机犯罪案件后，侦破过程中往往最先要分析的是动机：被拒绝服务攻击，那么会不会是竞争对手？或者之前发生口角争执的用户？非正常离职的员工？等等，通过列出有动机人的嫌疑名单，可以有效缩小进一步侦破的范围。

实际发生过一个案子：有人拒绝服务攻击游戏公司，然后上门推销“拒绝服务防御”设备，攻击者对自己的技术很有信心，也确实没有留下什么痕迹，可是动机分析很容易就锁定了嫌疑犯，一次突击搜查就直接拿到了证据。

其次看方法，分析犯罪手法可以得出很多的结论，有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析，比如不久前发生的12306拖库事件，通过对公布出来的库进行比对分析，就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论，这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具（例如木马）的分析，可以得出犯罪嫌疑人的开发平台、使用的语言，如果是第三方下载的，那么也就知道了常去的网站，这些都可以是破案的线索。（美国几次公布中国黑客攻击的证据，其中就有大量对工具语言版本的分析作为支撑）

如果攻击者一点痕迹都没留下，其实也相当于留下了痕迹，我们可以判定此人是经验丰富的高手，业内能符合这个特征的人并不多，可以大大缩短怀疑的名单。

最后则是后果，犯罪嫌疑人进行计算机犯罪总是有其目的的，无非是名和利，为名者常常喜欢炫耀，而为利者则避免不了异常的收入和开支，这些都会形成破绽，结合之前的动机和方法，往往能锁定对象。

如果出现高智商反社会罪犯，纯粹出于兴趣进行随机犯罪，这才是最头疼的。

=======

技术力量在计算机犯罪侦破中所能起到的作用是巨大的，除了之前说的“痕迹分析”外，还可能通过攻击路径溯源分析直接定位攻击者。此外，在锁定嫌疑人进行了搜查之后，技术支持往往还要进行证据分析，如果犯罪嫌疑人已经销毁了证据，还可能要进行证据恢复等等。

实际发生计算机犯罪案件时，会根据影响不同而调动不同级别的资源，因此大案要案的破案率明显较高。曾经有一次黑客攻击被误以为是邪教报复，公安部副部长亲自督办，大半夜电信运营商分区拉闸判断攻击位置，定位到攻击城市后，我司的工程师开着商务车运送协议分析设备一个机房一个机房接入检测，天还没亮执法人员就堵住了嫌疑犯大门……

=======

中美在打击计算机犯罪上究竟有哪些不同？

首先，美国更重视针对计算机犯罪的执法队伍的培养，美国的执法人员薪水待遇和社会地位都较高，制度也灵活，因此比较容易招募到水平较高的技术人员，或者通过和大学、研究机构和厂商的合作获得较强的技术支持力量。去年在旧金山召开的RSA信息安全峰会上，美国国土安全局直接摆了一个摊子现场招人。而位于圣迭戈的海军罪案调查处也正大光明的到处递名片谈合作。

与之相对应的是，国内目前执法力量对比黑色产业资源明显不足，公安体系内技术出身的骨干缺少、人员流失、经费不足、案件数量太大，受害者的自我保护意识严重不足（例如完全不知道要保护现场，常常出了问题就直接格式化重装了），这些都是造成计算机犯罪破案率偏低的原因。

此外很重要的一点，美国司法机构强调“毒树之果”原则，如果司法程序有瑕疵，即使抓到罪犯，起诉也会失败，而中国暂时还没有这样的问题。因此美国在计算机犯罪的前期侦查上更谨慎，对技术依赖更高，反过来中国的执法机构却可以通过怀疑假设加上搜查验证的方式快速结案。

而美国计算机犯罪相关的黑色产业链也远没有中国发达，从待处理案件的数量上，美国要远低于中国，但是高智商反社会人格犯罪比例却更高，因此挑战也很大。

=======

补充两点：
1.美国的黑色/灰色产业链远没有中国发达，这点大家去看看中美网银/在线购物的安全防御水平就知道了。原因很多，主要是美国的社会保障比较好、普通人安全感强，所以为了赚钱去做黑产的很少，倒是为了兴趣搞破解黑客的多；此外，美国的信用体系也比较完备，破坏法律的成本很高。

2.为什么锁定高手就能缩小清单，是因为在国内，具备最顶尖能力的黑客（无论白帽黑帽）大多都是在国家清单上的，即使暂时不在，也会和业内其他的高手有交往或合作，毕竟一次复杂的攻击需要的技能和支持太多，远不是一个独行侠靠一己之力能掌握的，大家看侦探小说，有的案子发生后侦探只需要去当地的帮会询问，往往就能得到明确的线索，信息安全界也是如此，总是有千丝万缕的联系。

3.国外来源的攻击并非没有办法追查，通过逆向攻击溯源是一种方法，通过类似CERT的机构要求国外配合协查也是一种办法。

编辑于 2015-04-05  42 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

1184赞同 反对，不会显示你的姓名

苏哲  ，安全工程师

米随随、 Belleve 等 1184 人赞同

上面的大牛们都是说方法，我举个自己追过的具体例子

我朋友在创业，听说他公司被人搞了，请我去帮忙看下。
我发现他们公司服务器会反链一个域名叫 http://yk.syncn.org。于是我查了下这个域名
https://www.virusbook.cn/domain/yk.syncn.org


手机号明显是假的不用说了，邮件看着倒是真的，顺藤摸瓜看了下这个人的gmail找回手机号：*********67。
于是看了下这个人注册的相关域名。


除了yk.syncn.org, 还注册了 http://spacework.co、 http://btsoso.org、 http://xiasidiele.com。别着急,咱们一个一个的看。

我发现“btsoso.org”在百度中居然还能搜到一些东西。有名为“space”和“spac”的网民对该域名进行过推广，并留有qq（956308460）联系方式
这个QQ号的昵称叫SB

照着这个QQ号人肉一番，发现这个QQ号做名字在“红客联盟”、“暗组技术论坛”、“合购网”等多个黑客交流论坛发布信息。那就，翻了下他帖子？发现主要关注“webshell”、“木马免杀”、“远程控制”。想在深入挖掘下，于是就想起了QQ特么不是有邮箱么！

用 http://threatbook.cn查了下[email protected]注册的网站，发现大部分都叫kong ge。太没新意了，你说这帮做黑客的就不能摒弃"哥"这个占便宜的称谓么，袁哥，黑哥，泉哥，能不能有点新意！能不能！？(最后发现人家其实叫空格........可见我对安全圈哥哥哥之类的称谓深恶痛绝)

拿着"空哥"的邮箱，去翻了下已经公开的社公库，发现这个邮箱跟另一个邮箱高度关联[email protected]。而且登录账号的地址都是广东省清远市。社公库里没找到手机相关的信息。

然后拿着两个qq号，去各个网站找回密码等地方去碰撞，终于把手机碰出5位。是"132****5767"。中间的星号看不见。我们设置为x。玩笑。。。

但其实中间4位是能猜的，地址是广东清远，前三位是132，排查下就能知道，手机号是13232815767。然后根据手机号翻微信，用1039151694翻微信，发现都是一个人，基本上确认没错。

然后用这个手机号再去社公库查下，发现能找到这个人的身份证441801******144617（我打码了）。

身份证手机号 都知道了。拿着这个手机号翻支付宝，发现这个人叫曾剑锋，支付宝的邮箱是[email protected]。又有新信息可以清洗了，还可以再拿这个邮箱再查。但没必要了，想知道的都知道了。

这大概就是追查流程，

编辑于 2016-06-18  126 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

118赞同 反对，不会显示你的姓名

曹政  ，微信公众号ID - caozsay

水耀 等 118 人赞同

抓入侵黑客基本上要满足三个条件
1、隐藏不完美，有痕迹可循
2、没后台
3、得罪了不该得罪的势力

先说1、目前稍微有一定技术实力的黑客，都知道销毁活隐藏入侵和嗅探的痕迹，来掩盖自己，但入侵痕迹容易隐藏，利益链却很难隐藏，很少有入侵行为是不带利益诉求的，所以一般通过追踪获益途径往往能找到目标人物。（挂马，盗号，攻击竞争对手是最常见的几种）

2、这个不能多说，最近频繁被知乎管理员锁帖，闭门分享会讲过这方面案例，公开的就不讲了。

3、其实目前中国在抓捕网络黑客方面还是抓了不少人的，但是实际上曝光的不多，简单说就是一个词，家丑不可外扬，巨头们抓黑客谁也不愿意声张出去，所以给人的假象是黑客是抓不到的，实则不然。
但是小公司，创业团队往往会有无力感。

所以，这是第三个要点，黑客被抓，往往是得罪了不该得罪的势力，千万不要小看中国的网警，他们认真起来，破案是很快的，六省断网那例子多明显。
当然，如果有人问，那次根域名解析全线崩溃咋没破案呢，咳咳，都是屏蔽词啊，不说了，知乎管理员手下留情吧。

发布于 2015-04-05  22 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

14赞同 反对，不会显示你的姓名

Greysign  ，Simple & Stupid

14 人赞同

技术手段ringzero同学的讲的够现实了，补充一下其他方面。
1.先从成本角度讲。
如果只是给备案，基本上没人管你。
如果立案侦查，要看涉案金额以及社会影响、政绩影响，如果足够引起平平安安的兴趣，恭喜你。
假设案件受关注度一般，那么会有低成本手段快速解决，如果解决不了，一般就被扔一边，哪天有其他案件串到了，并案一起解决。
低成本的手段要看什么级别的单位在干活，不同级别的单位有不同的设备和权限，快速从一些现成的系统里，比如安安八大库，xx侦系统里翻一下，被翻到就算你倒霉了。
2.技术手段如果不能完全定位，解决问题。刑侦手段也会出现，别忘记黑阔也是个人，而且很可能是个社会经验和情商一般的普通老百姓。
黑客圈里也有不同的小圈子，职业化的圈子都会有人盯着，除非案件是一个很低调，全部独自完成，非常职业的黑屌丝动的手（现在的很多大事件都是团队才能搞好），否则圈子里刮一遍，线索就来了。
当然，信息化破案也包括在内，以前的数据是30%的信息化破案率，目前在多个x盾工程下，信息化破案的成本+能力的性价比会越来越高。
此外，还有很多平台把江湖志士们集中在一起，梁山好汉想要有个freedom的世界？宋江哥哥都告诉你们不现实了，用行动来证明当个公务员才靠谱。xxx帽子们，你们还提交漏洞和安全事件吗：）
3.别忘了，这个世界还有以正义为己任的无名路人。我见过这样的人，所以我知道会有很多我所不知的这样的人，中国太大了，在技术领域里，特别是奇技淫巧横飞的黑阔圈，很多名气大的公知们天天讲啊讲的东西，或许只是某些人手里的玩具，从古至今，大隐隐于市，他们或许只是你身边，一个卖烤羊肉串的新疆小伙子。

讲到最后，扯回主题：
1.黑客被抓一般是因为几点：
a.抓捕的成本可控，性价比高，有驱动力啊，就像抓赌一样，如此这般，你懂的！
b.太不低调而且太不专业了，属于自己找死。
2.技术上能提供的方法，能说的都是百度一下就有了：）
c.利益驱动太多了，管理手段还没跟到同一水平。参看 @韩立讲的哲学问题。
d.国外的不太了解，但是技术手段及成本、体制、法规都比我们先进。
就像病毒和人类的战争，永远都是螺旋上升的，也许今天人类获得暂时的胜利，明天又会碰到更强悍的病毒前来挑战。

编辑于 2013-08-31  3 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

26赞同 反对，不会显示你的姓名

风泽  ，个人公众号：非典科男fdkn666

26 人赞同

简单说下自己的看法：
1：你能抓到什么样的黑客，取决于你的技术能力和认知和能调动的公共权力。
上面有回答提到的王x军在重庆的事迹，这就属于后者，能调动的公共权力巨大，还有shotgun提到的公安部督办的案子。这种一般咱也碰不到。

2: 为什么说取决于你的技术能力和认知？
很简单， 网络对抗，是同一个层级之间的斗争，只有同一个层级，才存在对抗，比如侦查反侦察，攻击反攻击，如果技术和认知水平不是一个层次，那不叫对抗，叫单向碾压。
一种攻击方式，在你不了解不认识之前，对你来说，这就是空气，你不可能提前了解你不了解的东西。

3:若2的假设成立，所以结论就是你自己对渗透/反渗透的认知程度决定了你能对付什么样的入侵事件。

4:简单说几个自己经历和了解的事情，顺便正面回答一下题主的问题

黑客被抓一般因为什么原因？
被抓是无非是因为屁屁没擦干净，渗透本来就是一个很耗时耗精力的事情，而且很可能很长期，从踩点到真正的入侵成功需要花费的时间往往很长，即便是再谨慎的黑客，也会偶尔露出马脚。
而且黑客往往会高估自己采用的隐藏方式的可靠性。举个例子，Blake Benthall，暗网丝绸之路的作者被抓，FBI并未透露是如何绕过Tor的保护，对此tor组织虽然否认觉得FBI并没有攻破tor服务，但事实上说明政府部门也没想象中那么渣，在你被抓之前，你也永远不知道自己为何被抓。

　这些暗网络网站使用了Tor匿名软件，因此司法部门如何定位这些网站仍是一个迷。例如，在针对班索尔的刑事诉讼中，FBI探员文森特·达格斯蒂尼(Vincent D'Agostini)仅仅表示，2014年5月，FBI“确定了位于美国国外的一个服务器，当时这一服务器被认为是承载丝绸之路2网站的主机”。他并未透露，FBI是如何绕开了Tor的匿名性保护。由于许多基于Tor技术的网站在此次行动中遭到了打击，因此外界猜测，政府部门可能已经找到了应对Tor匿名性的新工具。

　　关于Operation Onymous行动定位网站的方式，Europol的奥尔汀选择了保密。他表示：“我们希望对此保密。我们无法与全球所有人分享我们行动的方式，因为我们希望继续这样做。”

　　负责Tor开发和维护的非营利组织Tor项目表示，该组织并不清楚Operation Onymous行动中使用的技术。不过，该组织仍为Tor的安全性辩护。该组织的安德鲁·勒曼(Andrew Lewman)表示：“这听起来就像是老式的警察行动仍在继续发挥作用。司法部门有可能是瞄准了运营这些机密服务的普通人或组织，或是主机公司，而不是攻破了这一机密服务。”

说个好笑的事情，挺多年前，快毕业前觉得要留下点什么，想来想去想到了攻击修改学校主页，那时候技术很渣，不过好在学校网站维护的更渣，当我发现了有一个漏洞可以进入后台系统，更改主页时，那是3月份初，但我当时没有采取任何行动，直到6月底毕业前，我跑到了附近的一个网吧，以最快的速度登陆后台，修改了主页。现在想想还是百密一疏，第一是探测踩点的时候，没有用代理/等匿名手段（的确也是因为连了这些后网速巨慢,当时还是穷学生，职业黑客应该会购买很多专业服务),第二是当时那个网吧也是需要刷身份证上网的，不是黑网吧。第三是：没有搞到系统权限，web日志没有删掉。

所以如果学校足够重视，想查到还是很简单的。



在技术上能提供哪些方法辅助抓捕一名黑客？
各种日志，honeyport,但必须能够推测出黑客的攻击路径，所谓的攻击路径是根据攻击后果来一步步反推的，比如如果你网站数据库被拖，肯定第一时间想到是web相关的服务可能存在漏洞，然后再去筛查。在筛选攻击路径中，如果能发现黑客留下的指纹信息，就非常重要，ip地址，时间，等等，当然对于成熟的黑客，这些可能都是伪造或者是被清除的，如果黑客留了后门，其实还是比较容易被发现的，毕竟在作案现场留下了东西，而文件系统是可以做完整性检查的，比如Linux下的Tripwire等工具，别说增加一个文件，就是增加一段代码，md5 hash也会告诉你哪些文件改变了。

很多情况是，黑客走的是正门，而且是用的你自己的钥匙，比如windows平台下的mimikatz，可以直接抓取用户密码，这样的话检查难度就大了很多，

还有很多情况，黑客压根就没开你家的大门，他们只是躲在你家附近，窃听你的信息，比如黑掉同一个C段的主机，然后arp目标主机，如果你的主机没有任何arp防护，很多登陆密码也可以被轻而易举的嗅探到。


目前黑客犯罪猖獗而执法者相对弱势的原因是什么？
犯罪猖獗的原因很简单，互联网技术普及化，各种自动化攻击工具的公开化，互联网服务的普及化(无论是pc端还是移动端), 执法者的相对弱势也很自然。
第一攻击的频次和概率太多，忙不过来，最常见的黑主页，挂黑页，每天得发生多少次，再加上什么钓鱼，诈骗，警察的确忙不过来。
第二：很多攻击难以将损失定额化，你说黑了我主页，上面写了一行字,fuxxck you ,hacked by xxx ，你说这算5块还是10块钱的损失，连钓鱼经济诈骗都是2000以上（好像是）才被立案。
第三：警察队伍整体技术水平有待于提升。
挺久前一个偶然的例子，一个朋友介绍某国安系统工作的朋友加我，让我推荐几个黑客渗透下某国外网站，当然这个是国安系统，我个人觉得警察系统整体水平也差不太多，特别是基层的整体水平还有待提高，毕竟这个是新事物新技术，老一辈干了一辈子刑侦的经验再丰富也无用武之地。

国内与国外有何区别？
国外不是很清楚，国内的话，我觉得如果真是督办的案子，还是很难躲掉的，所以黑产的童鞋们，还是低调一点，闷声发大财比较好。

编辑于 2015-04-04  2 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

191赞同 反对，不会显示你的姓名

王音  ，信息安全行业从业者

收录于 编辑推荐 •191 人赞同

如果你们关注的是如何抓住普通的小骇客(无纪律、无意识)，我可能没那个耐心回答，但如果你们想知道关于职业骇客(高意识、严格纪律、资源丰富)的看法，我还是可以给出一些论点的。

一、安全对抗
了解你的敌人(Know Your Enemy) 
每个职业骇客通过常年的攻击行为、经验，累积了关于各种体系的知识，然后组合出各种攻击模式，而每种攻击模式都少不了 流程化、自动化。


你都不知道骇客想干嘛，在干嘛，防御你妹呀？

现在大多数公司内部系统管理员与安全人员，他们因为没有来自行业与内部的竞争压力，为企业做的安全防御选择的都是“常规模式”，外加生搬硬套国外的标准做安全管理，日久天长就会变得工作效率低下、不负责任。

如果技术人员都不知道什么叫0day，都不知如何处理rootkit，你叫他们怎么会有意识在各种骇客的关键路径设立传感器捕捉日志、保护日志？

一名优秀的骇客同时也是一名优秀的网络管理员、系统管理员
骇客知道哪里会留下自己的操作记录、各类日志，他们会去篡改，甚至 模拟出和真正管理员一模一样的行为。


所以想要抓住骇客，就要时刻知道那些日渐趋变的攻击模式，找到攻击者的攻击路径，再去有目的的防御，Keep It Simple, Stupid，KISS原则。

1. 有纪律的骇客，一般都会用最少的操作行为、最少的系统功能，来达成自己的目的；
2. 面对海量的攻击日志，是很难确定攻击者到底在哪里的；
3. 在一个没有录像监控系统的网吧，拨了三层VPN+TOR的职业级宅男骇客(常年不出门)，要抓到他？你们他妈的别做梦了！(这一句是对那些一天到晚不切实际谈论安全的专家们的吐槽)

二、80%的隐患来自内部

待补充

题外话：

to  @Wabbor ，对于你的回答内容：现在已经没有骇客会在服务器上留后门、添加账号了，他们直接通过各种手法，窃取到管理员的真实密码，甚至直接入侵系统管理员的工作机(把管理员记录所有服务器信息的密码表、网络拓扑表拿到手)。

编辑于 2013-08-31  37 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

1赞同 反对，不会显示你的姓名

土豆先森  ，不是黑客，不是老法师，不是程序猿，什么…

1 人赞同

第一，表明一下我一直强调的观点，中国的网警因为国家重视等等的原因，有的人只是抱着工作拿工资的心态，但是真正有技术的网警大有人在，而且别忘了，如果真要查，网警能拿到的权限是你想不到的，造成黑色产业依旧泛滥，很多大小黑客但是总有种黑客没人管的原因是他们做的一些事不知道网警去查，或者是很多已经被查水表的，你并不知道被查了，包括我的一个朋友，可以说是大牛了被招安了，这两天在过政审，他们会告诉你被查了？所以同意  @曹政 的回答，很多也是因为你懂得，有后台，被查也不了了之等等。


我只是想回答一些觉得中国网警只会封封网盘，查查黄网，调调监控，那你就错了～～只是人家并没有查或者是涉及的一些不值得查罢了，查起来的话....嘿嘿嘿嘿(º﹃º )

有点没答到地方...第一个问题：大的事件参考前几年的几次在百度上可以百度到的事，自己权衡原因的性质，但是得提到一点，有很多很多并没有因为做了多大的破坏或者是导致了巨额资金，大量泄露的小黑客，经常发生，但是百度上不会百度到，通常受到的惩罚也是十几天的行政拘留，没收相关设备，这样也是有很多的。

剩下几个问题一起答，技术方面，  @shotgun 以及其他几位已经答的很详细了，当然如果对国家或者是造成的影响十分严重，查的方法不会局限于通过网络途径，你懂的～至于对于黑客，执法者给你的感觉很弱的原因我最开始提到了，不是不查，伸手必被抓～最后一天，相比国外的执法者，或者是执法方式差异的话，国外对我们所谓的网警的待遇和重视程度更高一些，而且分级比较清楚，对于国外定义的网警，工作就是查一些网络犯罪的，而对于其他我们的网警做的事，分了有其他的专门负责的部门来做，至于执法方式，大同小异。

编辑于 2016-06-18  添加评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

4赞同 反对，不会显示你的姓名

Eagle  ，51idc

4 人赞同

有些时候就算你知道是谁，你也不敢搞他。
不信你试试～

（啊，多么痛的领悟～）

发布于 2015-04-12  3 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

25赞同 反对，不会显示你的姓名

余弦  ，在知道创宇黑客不神秘

Evi1m0 等 25 人赞同

我一直有个想法，推进难：
比如安全宝，加速乐，网站卫士等背后的日志联合提供接口去联合分析某黑客行为，在大数据层面，最可怕的就是关联分析。

关联分析的思想是：
对看似零散的线索在多维空间上描绘出一个原型，通过推理可以得到更多信息，进而更完整描绘出这个原型。

比如，我们各家的日志里记录了黑客访问的一些行为，不一定是攻击的，也可能是攻击的（一个黑客历史上的行为都被各家储备下来了），通过这些来溯源，描绘，更多的不多说了。

这个想法可以扩展，比如更多日志源的加入，社工库的加入等。

不过直接合作的可能性很低，间接的可能会有。

常在河边走哪有不湿鞋？关联分析总会发现最后的原型（黑客）。

说下执法者弱的原因，我和相关朋友有过交流，比如：
1. 精力问题；
2. 职权范围有限；
3. 合作耗时久，成本高；

黑客猖獗很多时候是利益远大于各种，还有经常砖法律空子，砖执法者弱的空子。

发布于 2013-08-31  7 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

7赞同 反对，不会显示你的姓名

Wabbor  ，网络安全攻城师/WEB安全攻城师/苹果爱好…

7 人赞同

我也来回答下这个问题吧..如何针对来查找入侵windows系统的黑客.有机会再讲linux
刺总也只是说了针对入侵网站的黑客.我来将将如何找到入侵来的黑客
既然黑客是通过网站入侵.那就比较简单了.第一点.要知道该黑客.是通过什么途径什么漏洞.来入侵到网站.是否提权到服务器.是否串改服务器网站内容.说直接点.就是还原黑客入侵后所有操作的现场.这样既然知道他来的目的.就也比较好针对有目的性的黑客来开展反查.入侵的手段.无非就是 代理.VPN或者服务器.扫描该web漏洞.或者有针对性的漏洞.拿到网站权限是肯定要留后门的..或者是提权到服务器.在服务器在留后门.所有黑.都不会让自己手里的羔羊只是一瞬间存在的,既然这样.我们就有了把柄.分析web日志.分析windows日志.可以发现大量的内容..有些聪明的黑客会删除掉这些内容.但是总会留下一些痕迹.也可以说.入侵.后.操作不干净.也是属于黑客的漏洞吧,第二点.开始分析内容.知己知彼百战百胜.要知道黑客为什么会入侵.入侵的目的.串改数据.删除帖子.都是有针对性,来针对黑客的操作尝试开始反查.了解从哪里入侵进来.通过什么漏洞.在去看黑客的 ip总是会有. 无论国内国外.扫描还是什么总会留下大量的ip.也许是国内.也许是国外.也许是真实.针对IP在去进行分析.查找ip是否代理.是否VPN.是否家用宽带.如果查找到该黑客的确使用VPN或代理.这就要加大一点查找力度了.比如该黑客利用美国IP来入侵web..可以针对相关的入侵时间.去找某部门.查看国际出口.也是一点.如果没有这么大的能力的话.那就去查找黑客所留下来的web后门.和服务器后门. 查找web后门..可以查看访问记录..既然黑客留了后门.这个后门第一个访问的.也肯定是他.可以长期监控次后门..也可以发现该黑客.总计..第二.服务器后门..针对.服务器有很多种.这里我例举几两点.1.服务器成为该黑客肉鸡. 2服务器建立隐藏账号密码. 第一点服务器肉鸡可以针对服务器tcp链接.来查找黑客所控制ip..和木马.来进行分析. 第二查看注册表.建立的隐藏账号.来看黑客是用什么账号.如果1 1 这种的就算了.也不排除是黑客常用的账号.对该账号来进行社工也是一种...也可以对webshell来进行分析.总会有一些新的内容. 根据黑客入侵的时间轴.来去查找.相关时间轴左右的所有痕迹.一步步进行.总会有一些痕迹留下.而且黑客为了长期保留后门.也会经常来访问后门是否存在.这也是弱点之一.总结几部就是根据黑客.入侵的时间轴.来分析时间轴.左右黑客留下的所有痕迹.windows web 没一点.每一步.会留下大量的痕迹.只要.有落地到IP.就有针对性的.去查找到黑客的真实身份,补充一点.黑客既然有针对性的入侵.无非是利益.或者炫耀..利益方面.可以通过资金链.来查找到黑客真实身份,

编辑于 2013-08-31  4 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

1赞同 反对，不会显示你的姓名

名称测试  ，测试

1 人赞同

当你追查到入侵源头来自某个zf系统时会是极为尴尬的事，但不是因为它们的行政保护伞。

zf系统通常有一个在国内与Internet并行的超级局域网，它的冗余量大，速度飞快，但资源管理严重混乱且安全意识极度薄弱。

由于与Internet是物理分离（实际上根本做不到，不然就没有这种尴尬了）的，其内部的计算机无法得到及时的安全更新，漏洞隐患防不胜防。

这种特性使得你在这个网络内几乎可以使用任意层的跳板而不必担心网速与延迟的问题，它就像一个覆盖全国的极高速Tor，你很难知道它到Internet的最后一跳究竟隐藏在哪个zf办公楼的某台常年无人照看的肉鸡里。

发布于 2016-06-22  添加评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

3赞同 反对，不会显示你的姓名

两间  ，准备剃光头 | 懂感恩会技术能勤劳待致富 …

3 人赞同

简单来说，抓到的可能性微乎其微。

五角大楼被侵入还常常找不到人，何况民间公司，黑客往往多层跳板，你追查发现在攻击ip在一反华的国家，还怎么继续下去？

当我们手机钱包丢了的时候，报案做个笔录又如何，认栽就得了，否则就是真的想多了。

一句话，安全这东西，自己的意识最重要。

发布于 2013-11-04  5 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

2赞同 反对，不会显示你的姓名

jimmyixy ren  ，往事不堪回首，回忆里尽是蝌蚪

2 人赞同

蜜罐（honey pot），类似于钓鱼吧，暴露一大堆漏洞在他面前等着上钩。
不过黑客一般都会用代理或者vps来搞人，要想抓必须得有网监来配合。蜜罐里的东西只能作为证据

发布于 2013-09-04  1 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

1赞同 反对，不会显示你的姓名

匿名用户

1 人赞同

曾做过一些入侵和DDos类的案子，结果都很理想，在入侵追溯方面主要还是成本问题，对抗的成本，公共资源投入的成本，部门协调的成本等等，在目前的情况下如果能打破封闭，有效联合，联动的情况下，我想大多数的入侵或攻击是可以有一个好的结果的，但是目前我们封闭所造成的成本太高了。

发布于 2015-04-11  4 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

0赞同 反对，不会显示你的姓名

匿名用户

 

脚本小子玩起的小白来说 多数小白入侵网站后做的更多的是写入webshell 挂个黑页 然后再提权服务器 当然这是批量随意的入侵 可能是为了炫耀或联系 当然很少小白会注意入侵痕迹的清洗
还有的就是指定入侵了 可能涉及到了黑产以及资料涉密性的输出 当然干这些的肯定是大手级别的 显示是职业做黑产的 不能轻易被发现

发布于 2016-06-19  添加评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

4赞同 反对，不会显示你的姓名

于吉龙

4 人赞同

理论上讲，通过入侵网站遗留下来的蛛丝马迹都是可以抓到幕后黑手的，不过有时候抓到黑客的难度超乎想象或者说抓捕成本已经超过了入侵该网站所造成的影响。一些成功抓捕的，要么是一些脚本黑客，并不懂很好的保护自己，用自己真实ip去操作，或者在入侵的时候自己不小心暴露了自己的地址，有次协助网监办案的时候，发现入侵该网站的操作ip都是美国的ip有上万条数据，但是经过仔细筛选在这些数据中其中有几条是国内的，猜想应该是该黑客挂着代理扫描，但是代理突然中断当时她并不知情，接着用自己的真实ip扫描，发现后又接着挂上代理扫，当时去拿人的时候这人还在搞着攻击逮个正着。还有一些虽然有使用跳板，但是可以通过技术手段逆向查询和这个跳板连接的ip，反跟踪回去也能找到黑客真实地址。如果跳板够多，或者在多个国家之间跳转那就不好查了。

发布于 2013-08-31  2 条评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

0赞同 反对，不会显示你的姓名

匿名用户

 

所有网络节点部署单向磁带机，呵呵。但是对养马和挑拨的没用，尤其是某些自封网管的黑灰人士。所以，一般需要被动防御。另外，其实很多情况下都在扯皮。那啥的意志，都懂的。

发布于 2014-01-20  添加评论  感谢 

分享

  收藏  • 没有帮助 • 举报 • 作者保留权利

0赞同 反对，不会显示你的姓名

匿名用户

 

除非低级黑客或者出现失误，你基本上抓不到对方。

假设黑客没有即时或故意没有删除被攻击的服务器的日志
1. 只有让公安机关介入调查网络服务商的数据记录，才有可能提升抓到人的几率
2. 然后还要对方看是否用了多个路由，调查路径可能从你家服务器一路跑到国外的路由，再从国外的路由调查回本国的路由，需要大量时间和资源（而且国外路由不是想查就能查）
3. 如果黑客用了大量肉鸡，还要先查到肉鸡，再通过肉鸡查源头
4. 最后，黑客有各种办法隐藏身份。即便你查到了物理地址，也可能不是黑客自己的。

 

 

from:  https://www.zhihu.com/question/21572913#answer-38083467