缘起

开展溯源

研判：

溯源信息收集：

威胁情报信息收集

通过微步情报中心分析得出是未知安全，估计是没来得及做更新，于是换其他情报中心测试。

IP反查域名：

在前面威胁情报收集之后，该IP是阿里云的一台云服务器，推测应该属于个人的服务器，于是对IP反查绑定的域名，若存在域名，便可以查询域名备案信息，从而溯源到攻击者。

IP反查得到最近绑定的三个域名，需要验证这三个域名是否解析到攻击源IP。为什么要验证呢？因为有些攻击者攻击完之后，会故意将域名解析的IP进行更换，这样在情报中心还是在域名解析记录中，暂时是没更新解析记录的。

域名解析记录

经过二次验证，域名和IP是绑定在一起的，未做更改，既然这样的话，岂不是很容易了。

于是，使用ICP备案查询，上述的三个域名均有备案，备案性质是属于个人的。

身份信息追踪

获得IP绑定的域名之后，需要查询域名注册的个人信息，查询的方式有很多，比如聚名，笨米网，爱名网等域注册商处。

通过查询多个威胁信息平台，获得注册域名时留下的QQ邮箱（[email protected])。

有了QQ邮箱即有了QQ号，就可以检索很多信息，于是进行检索得到了QQ绑定的手机号和微博。

为了验证手机号与攻击者有关，用手机号和域名备案信息做了关联性分析。根据域名备案信息“赣ICP备1xxxx号”，与手机归属地对应，故判断具有关联性。

社交ID标识符

这里对社交ID做一个小小的整理。

社交平台标识符包括：CSDN、博客园、GitHub、ZOL、Twitter、QQ、邮箱、贴吧、百度、微博、淘宝、网易、猎聘、58同城、个人博客、网盘、微信、常用ID、人人网、脉脉、当当网、杂志、牛客网,抖音，陌陌，探探，Soul等。

个人身份信息包括但不限于:姓名、性别、出生日期、sfz、手机号、sfz家庭住址、sfz所在公安局、快递收货地址、大致活动范围、银行卡号、支付宝、学历、毕业院校、照片、伴侣、公司、钉钉、飞书等。

最后通过手机号查询到了微信，支付宝，姓名，微博，个人自拍照。

微博信息

个人自拍照

总结

此次溯源纯属运气好，能够直接找到相关信息！

作者：MCY

文章来源：https://www.freebuf.com/articles/web/341334.html

如有侵权，请联系删除