摘要 在网络威胁高度工业化的今天，攻击者通过模板化工具与自动化流程大规模构建克隆钓鱼站，重点瞄准金融、社交与企业邮箱等高价值目标。 本文基于实战案例，介绍如何利用知道创宇 ZoomEye 的多维检索能力——结合 HTTP 标题、HTTP 正文、ICON、IP 解析与前端痕迹（如 Telegram Bot），把零散痕迹转化为可操作情报与持久检测特征规则，实现对恶意站点的高效发现与扩展，为威胁分析师提供可复用的实战思路。 概述 威胁狩猎的核心不是发现单个页面，而是识别能够泛化的指纹特征，并据此做横向扩展。本文的方法论可概括为三步： 初次发现：从单个可疑页面中提取高信噪比特征（标题、正文中特殊字符串、iconhash、证书信息、前端API调用等）。 横向扩展：基于初次发现结果，在 ZoomEye 中进行精确检索（按 IP、iconhash、http.body、title 等），识别同一批次或同一基础设施下的其他恶意资产。 交叉验证：结合证书、域名注册信息、时间窗口与托管/解析习惯，对命中结果去噪并标注处置优先级。         以下各节分别以实例说明每种特征的提取与检索策略，并给出实用查询示例。 通过HTTP正文特征发现克隆钓鱼站         攻击者经常在钓鱼页面中复制目标站点的部分文字或版权信息，这些字符串在合法站点以外出现时，具备很强的指示性。示例流程（Coinbase交易所）： 访问 Coinbase交易所 官方站点，在官方站点读取独有字符串（例如版权语句）：”© 2025 Coinbase” 在 ZoomEye 中查询包含该字符串的站点，并排除官方域名与证书，从而聚焦疑似克隆钓鱼站 http.body=“2025 coinbase” && domain!=“coinbase.com” && ssl!=“coinbase” 要点：选择不太可能被第三方正常复用的长字符串或格式（如版权行、资源文件名、带时间戳的路径），能显著提高命中率和精确度。 解析IP并做横向追查        攻击者常把多个恶意域名解析到同一台服务器（同一 IP），既降成本，又能在域名被封时快速切换。我们发现一个恶意站点后，解析其域名获得 IP，在 ZoomEye 中查询该 IP 的相关网络资产，通常能横向枚举出更多相关恶意域名与页面。示例查询：针对前文提及Coinbase交易所仿冒站点的解析IP地址 5.254.129.71 进行查询，可命中 29 条与交易所高仿克隆相关的恶意站点，涉及 Coinbase、Gate、WEEX、Bybit等多家交易所。 ip="5.254.129.71" 要点：IP 关联对快速扩展非常有效，但需注意 CDN/反向代理与共享主机场景导致的误判，结合证书 CN/SAN、网页特征与域名模式做交叉验证可降低误报。 基于HTTP标题做批量识别        钓鱼攻击常呈现规模化与模板化：攻击者用可配置模板快速替换目标名称（如软件或登录站点），辅以社会工程话术，并批量注册域名解析到同一服务器。我们发现一个钓鱼站点后，可提取其 HTTP 标题中的特征字符串，在 ZoomEye 中搜索，以识别同批次的钓鱼站点。示例查询：某钓鱼站点标题为”Facebook 桌面版”，而众所周知 Facebook 并无桌面版软件，因此该标题可作为钓鱼站点的特征。在 ZoomEye 中可用以下语句扩展搜索，以发现更多恶意钓鱼站点： title="Facebook 桌面版" 要点：选择那些在合法生态中罕见或明显不合常理的标题（如“桌面版”与实际服务不符、包含拼写/语言混杂的句子等），能快速找到批量模板化产出的站点。 通过HTTP正文独特资源检索        发现钓鱼站点时，不必局限于标题——还可以分析 HTTP 正文内容。钓鱼站点往往会复用静态资源（图标、图片、脚本文件名等），这些资源名通常不容易在其他非相关站点被无差别使用，因而是优秀的检索特征。示例查询：某钓鱼站点正文包含一个特定 ICON 图标名称，且该图标文件是网页所需资源。我们可将此 ICON 图标名称视为钓鱼站点特征，在 ZoomEye 中使用以下语句扩展搜索： http.body="20190706125618443.png"  要点：提取资源完整路径或文件名（含随机串或时间戳）作为检索条件，优先查找完全匹配以降低噪声。 基于ICON图标的反查        相比模板化钓鱼站，高价值目标（金融、邮箱、办公软件）的克隆钓鱼站仿真度更高，通常复用品牌icon与界面元素。通过 icon图标反查所有使用同一 icon 的页面，这对发现高仿克隆站尤其有效。示例流程（Binance交易所）： 查询 Binance 交易所官方站点，获取其官方 icon（点击结果页图标可得 iconhash） domain="binance.com" 在 ZoomEye 查询页点击该 icon，反查所有使用该 icon 的站点 iconhash="43365839589fc348172246e108c1297c" 在查询语句中排除官方站点域名与证书，聚焦疑似克隆钓鱼站 iconhash="43365839589fc348172246e108c1297c" && domain!="binance.com" && ssl!="binance.com" 要点：iconhash 检索对高仿站检出率高，但会漏掉仅使用其它资源或做深度伪造的不复用 icon 的页面；因此应与其它特征联合使用。 利用前端痕迹线索发现并扩展恶意站点        在分析高价值目标的克隆钓鱼站时，发现一个有意思的攻击方法：前端 JS 不仅收集表单内容，还会通过 ipapi.co 之类的 IP 情报接口获取用户的 IP、国家/城市/邮编等信息，最终调用 Telegram Bot API 的 sendMessage 把数据发到指定的用户/群组/频道。 这类实现往往在页面源码或网络请求中暴露 bot token 与接收方的 chat_id。作为防御方，我们可以据此用 Telegram Bot API 的 getChat 查询该用户/群组/频道的基础信息；若基础信息中暴露了频道邀请链接，也可进入频道查看内容以辅助研判和溯源。 示例：https://api.telegram.org/bot{token}/getChat?chat_id={chat_id} 既然这些克隆钓鱼站用 Telegram Bot API 外送数据，我们就可把前端痕迹当作特征做横向枚举。在 ZoomEye 中检索同时包含 api.telegram.org、bot、sendMessage 的页面正文，通常能高效筛出可疑站点： http.body="api.telegram.org" && http.body="bot" && http.body="sendMessage"        该组合在正常业务页面中极少出现（因其含义是调用 Telegram 机器人发送消息），因而具备较强指示性。为进一步降噪，可叠加时间窗口（after=）或与 ipapi.co 等指纹联合使用。      基于 Telegram Bot 特征枚举到的一批克隆钓鱼站，进一步审查其 HTTP 标题，可以看到攻击覆盖多种诱饵类型： 高价值品牌克隆 例如标题 “ВТБ – Ваш отзыв важен для нас!”（VTB – Your feedback is important to us!），仿造俄罗斯 VTB 银行的反馈页面，用于骗取账号或个人信息。 文件下载诱导 例如标题 “File Shared Notification”，伪装“同事/业务共享文件”，引导下载安装恶意程序，手法直接粗暴。 软件升级诱导 例如标题 “Update Chrome”，伪装浏览器/软件升级页面，实则投放恶意安装包。 要点：HTTP标题特征只是一个切入点，可以结合正文特征、证书/主机属性、域名模式与时间窗口交叉验证。 实战建议与去噪方法 组合特征优先：单一特征（如仅 title）易受噪声影响，推荐同时组合 title、http.body、iconhash 与 IP 查询并限定时间窗口（after=）以提高事件关联性。 排除规则：在查询中持续排除已知合法域与证书（domain!=”…” && ssl!=”…”），减少误报。 证书/托管信息交叉验证：使用证书的 CN/SAN、Whois、托管/ASN 信息判断基础设施是否为恶意惯犯或共享托管环境。 优先级打分：对命中结果建立评分机制（例如：同时命中 3 个指纹 = 高危；命中 1 个指纹且位于可疑 IP = 中危），以便集中人力处置高价值事件。 自动化和持续监控：把高信噪比的特征加入到自动化规则中，定期在 ZoomEye 上跑批量查询并把新命中写入告警系统或情报数据库。 结语        借助 ZoomEye 的多维检索能力，安全分析师可以把单点可疑线索提升为有组织、可量化的情报流。本文展示的基于标题、正文、资源、ICON、IP 与前端痕迹的链式发现方法，既可用于发现克隆钓鱼站，也适用于追踪恶意分发基础设施、C2 节点等。威胁狩猎应坚持两条原则：（1）优先识别可泛化的指纹特征；（2）交叉验证来降低误报。推荐将这些指纹特征结构化为 IOC 相似的检测规则，集成进监控/告警流水线，实现持续可量化的防御能力提升。 好消息，ZoomEye社区版(终身有效)会员限时回归！ 为什么选择社区版？ 永久功能：终身使用特色语法、API、AI搜索等核心功能 海量积分：一次性赠送 100 万积分，立即到账，有效期 1 年 超值价格：仅 999 元，享终身会员特权，省钱更省心 活动时间 11月10日10点起 （限时售卖，售完为止） 售卖价格 999元（一次付费，终身有效） 活动内容 1、注册过ZoomEye的用户，购买社区版(终身有效)即赠 100万 权益积分；新注册用户购买可获得 80万 权益积分！ 2、使用「付费会员」邀请码购买社区版，邀请人与被邀请人均可额外各得 10万 权益积分！点击查看邀请码使用教程 3、加入 ZoomEye交流群，再领 2000权益积分，入群可享专属网络情报推送！ * 所有权益积分有效期均为 1 年 购买链接 https://www.zoomeye.org/pricing 如有任何疑问，请添加ZoomEye助手 消息来源：ZoomEye Team； 转载请注明出处并附上原文

原题：使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 作者：知道创宇404实验室   一．摘要 在使用Jupyter Notebook和JupyterLab 的过程中，有些用户缺乏安全意识，未启用身份验证功能，导致任何用户都可以直接访问自己的Jupyter服务器，并查看其服务器上的代码和文档。 我们使用ZoomEye 网络空间搜索引擎，通过特定搜索关键词，可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档，若被不法分子利用，可能会造成数据泄露和资产损失。 我们建议全部Jupyter用户，在启动Jupyter服务的时候，遵循官方安全建议，设置成必须通过token或者password登录。 二．概述 ZoomEye [1] 是一款网络空间搜索引擎，通过全球部署的探测节点对全球互联网暴露资产不间断的深度探测，构建互联网安全基础态势测绘地图，为安全研究提供全面的资产基础数据。 Jupyter Notebook [2] 是以网页的形式打开，可以在网页页面中直接编写代码和运行代码，代码的运行结果也会直接在代码块下显示的程序。如在编程过程中需要编写说明文档，可在同一个页面中直接编写，便于作及时的说明和解释 [3]。 它是数据科学家们最熟悉且常用的工具之一。 JupyterLab [4] 是一个交互式的开发环境，是Jupyter Notebook的下一代产品，可以使用它编写Notebook、操作终端、编辑MarkDown文本、打开交互模式、查看csv文件及图片等功能。可以说，JupyterLab是开发者们下一阶段更主流的开发环境 [5]。 本文，我们介绍如何使用ZoomEye找到那些未启用身份验证的Jupyter服务器，并通过Web浏览器访问其中的代码和文档。 三．Jupyter产品的安装和启动 3.1 Jupyter Notebook 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动Jupyter Notebook，以及对应的Web浏览访问的效果。 Jupyter Notebook的安装方式，参考其官方网站 [6]。只需要在命令行下输入一句话命令即可，简单方便。 pip install notebook 正常启动Jupyter Notebook的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter notebook 启动Jupyter Notebook服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888 访问Jupyter Notebook的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用Jupyter Notebook的产品功能。 有些用户需要通过互联网访问自己的Jupyter Notebook服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将Jupyter Notebook服务暴露在互联网IP上，并且未启用身份验证。 jupyter notebook --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓Jupyter Notebook服务所在互联网IP的前提下，在Web浏览器中输入“http://...:8888”访问Jupyter Notebook服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况下，网页标题内容是：“Home Page – Select or create a notebook”。 ① 网页标题内容是：Home Page – Select or create a notebook 3.2 JupyterLab 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动JupyterLab，以及对应的Web浏览访问的效果。 JupyterLab的安装方式，参考其官方网站 [7]。只需要在命令行下输入一句话命令即可，简单方便。 pip install jupyterlab 正常启动JupyterLab的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter-lab ① 启动JupyterLab服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888访问Jupyter Lab的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用JupyterLab的产品功能。 网页标题内容是：JupyterLab有些用户需要通过互联网访问自己的JupyterLab服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将JupyterLab服务暴露在互联网IP上，并且未启用身份验证。 jupyter-lab --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓JupyterLab服务所在互联网IP的前提下，在Web浏览器中输入“http://*.*.*.*:8888”访问JupyterLab服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况的网页标题内容是：“JupyterLab”。 ① 网页标题内容是：JupyterLab 四．查找未启用身份验证的Jupyter服务器 如上一章节所述，未启用身份验证Jupyter Notebook服务的标题内容是“Home Page – Select or create a notebook”，未启用身份验证JupyterLab服务的标题内容是“JupyterLab”。 我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的Jupyter Notebook服务器IP地址和端口，总计1180条结果。 title:"Home Page - Select or create a notebook" ① ZoomEye搜索关键词为：title:”Home Page – Select or create a notebook” ② 总计1180条结果我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的JupyterLab服务器IP地址和端口，总计1597条结果。 title:"JupyterLab" ① ZoomEye搜索关键词为：title:”JupyterLab” ② 总计1597 条结果 五．Jupyter服务未启用身份验证的危害 用户在搭建Jupyter服务的时候，未启用身份验证，虽然方便了日常使用，无需输入密码；但同时也相当于将自己的代码和文档公开在互联网上，供其他用户任意访问查看，其中的登录用户名/口令、API key/secret等敏感信息若被不法分子利用，可能会造成数据泄露和资产损失。 示例一： 如下图所示，该Jupyter服务器中的代码泄露了：bitFlyer加密货币交易所的用户API的key和secret，Gmail邮箱的用户名和口令。 不法分子利用bitFlyer加密货币交易所API的key和secret，可以在交易所中创建交易、取消交易等操作，可能会造成资产损失；利用Gmail邮箱的用户名和口令，可以登录Gmail邮箱，可能会造成隐私数据泄露。 ① 泄露了bitFlyer加密货币交易所API的key和secret ② 泄露了Gmail邮箱的用户名和口令示例二： 如下图所示，该Jupyter服务器中的代码泄露了：亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY。 不法分子利用亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY，可以获取亚马逊AWS的该账号权限，上传文件至亚马逊S3云存储空间，甚至在亚马逊AWS上创建新的云服务器。 ① 泄露了亚马逊AWS账号的ACCESS KEY ID ② 泄露了亚马逊AWS账号的SECRET ACCESS KEY 六．结语 在使用Jupyter的时候，尽量不要将其Web服务公开在互联网上，而是开放在局域网中使用，避免被无关人员访问到。 若却有使用需求将Jupyter的Web服务公开在互联网上，则必须设置通过token或者Password登录，而不是为了贪图方便而禁用身份验证。具体操作可以参见Jupyter官方的这篇安全建议博客：Please don’t disable authentication in Jupyter servers [8]。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org [2] Jupyter Notebook https://jupyter.org [3] Jupyter Notebook介绍、安装及使用教程 https://zhuanlan.zhihu.com/p/33105153 [4] JupyterLab https://jupyter.org [5] JupyterLab简介及常用操作 https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0209.html [6] Jupyter Notebook的安装方式 https://jupyter.org/install [7] JupyterLab的安装方式 https://jupyter.org/install [8] Please don’t disable authentication in Jupyter servers https://blog.jupyter.org/please-dont-disable-authentication-in-jupyter-servers-dd197206e7f6

作者：知道创宇404实验室 原文链接：https://paper.seebug.org/2053/   一．摘要 在实现网络攻击的过程中，C2 服务器、loader 服务器甚至黑客的“工作机”都有可能通过开启 Web 服务器进行数据的传输。 根据 ZoomEye 网络空间搜索引擎[1]的历史数据，我们发现 9247 个 Cobalt Strike[2]控制端服务器中，有 6.53% 曾对外提供目录浏览和文件下载服务，涉及恶意样本、利用脚本、扫描结果等多种文件。根据已有数据，我们针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 在研究过程中，我们还发现存在遍历下载黑客“工作机”所有文件的行为，推断在互联网上已经存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 二．概述 黑客在控制他人电脑窃取他人文件的同时，也会成为他人攻击的重点对象。例如，黑客下载被他人嵌入恶意木马的扫描工具，运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。 本文，我们将从黑客开启的 Web 服务器入手，通过使用 ZoomEye 网络空间搜索引擎，成为黑客背后的“猎人”。 黑客攻击者在进行攻击时，会遇到各类环境，为保证攻击成功，会使用较常用的方式下发恶意样本。例如开启 Web 服务器，然后通过大部分系统自带的 curl、wget 命令实现下载。在黑客进行测试样本和回传数据的时候，也可以通过开启临时 Web 服务器实现数据的传输。 部分编程语言自带了类似的功能，例如 Python 语言。我们可以使用一条命令开启一个 HTTP 服务: python3 -m http.server，然后在浏览器上访问的效果是这样子的: 这种做法虽然方便了数据传输，却给了其他人可趁之机。其他人若找到黑客使用的“工作机”，便可以获取其攻击工具，了解其攻击手法，甚至直接获取其窃取的数据。 三．利用 ZoomEye 平台找黑客“工作机” 下面我们来看如何利用 ZoomEye 平台找到这样的黑客“工作机”。 除了网页标题中的特征字符串之外，我们还需要指定黑客“工作机”中经常出现的关键词特征，才可以在 ZoomEye 平台精准的找到黑客“工作机”。 下面是一些搜索语句示例: “工作机”上经常存放漏洞 EXP 攻击工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"exp" “工作机”上经常存放 log4j 漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"log4j" “工作机”上经常部署 CobaltStrike (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobaltstrike" (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobalt strike" “工作机”上经常部署 Metasploit (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"Metasploit" “工作机”上经常存放包含 CVE 编号的漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cve" “工作机”上经常存放 payload (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"payload" “工作机”上经常存放 calc.exe，用于木马捆绑测试 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"calc.exe" 3.1 示例：黑客上传扫描工具进行恶意扫描 IP 地址为 124.200.*.* 的服务器，在 2023 年 2 月 14 日新增了名为 fscan64.exe 的工具。在随后的第二天（2023 年 2 月 15 日），创宇安全智脑 [3] 便捕获了由该 IP 地址发起的 1255 次攻击请求行为，并将该 IP 地址标记为恶意 IP 地址。 2023年2月14日，服务器上新增了名为 fscan64.exe的工具 2023年2月15日，创宇安全智脑捕获了由该 IP 地址发起的 1255 次 攻击请求行为 3.2 示例：黑客用于投放的恶意文件被标记为恶意 黑客在“工作机”上存储了多个用于投放给受害者点击的诱饵文件。我们随机挑选一个文件“Google3.exe”，该文件出现在“工作机”上的时间为 2023 年 1 月 31 日；然后将其上传到 Virustotal 平台上进行验证，显示在 2023 年 2 月 17 日该文件已经被识别为恶意。 2023年1月31日，服务器上出现了“Google3.exe”文件 我们将“Google3.exe”文件上传至Virustotal平台检测，被识别为恶意 3.3 示例：我们可获取黑客使用的攻击工具 我们在黑客“工作机”上，可以获取黑客所使用的攻击工具， 例如 CVE 漏洞利用工具、网马工具、Payload 代码、诱饵文件等。 ①Cobalt Strike 工具 ②CVE-2019-7609 Kibana远程代码执行漏洞利用工具 ③payload代码 ④Apache James Server 2.3.2 远程代码执行漏洞利用工具 ⑤多个CVE漏洞利用工具 ⑥EXP工具 3.4 示例：我们可获取黑客的工作结果 我们在黑客“工作机”上，可以获取黑客的工作成果，例如网站扫描结果、窃取的受害者 Cookie 数据、窃取的受害者键盘记录数据、窃取的受害者电脑上的文件等。 窃取受害者cookie的数据 ①针对gov.pk进行扫描工作结果的存储文件夹 ②gov.pk的子域名扩展结果 ③针对各子域名，使用FFUF工具进行Web Fuzz的结果 四．测绘重点网段 4.1 Cobalt Strike控制端开放Web目录浏览情况 根据ZoomEye网络空间搜索引擎的探测结果，2020年1月1日至2023年2月16日，一共有9247个IP地址被标记为Cobalt Strike控制端。其中有 604 个 IP 地址曾经出现过对外提供目录浏览和文件下载的服务，占比 6.53%。我们根据探测到的文件名等信息进行判断，绝大多数文件均和黑客攻击相关。这说明互联网上的部分黑客“工作机”给了其他人可趁之机。 4.2 高频测绘重点网段 从已识别为Cobalt Strike控制端的IP地址中，我们挑选了出现Cobalt Strike控制端最多的30个B段进行小范围测试，针对这30个B段IP地址的 3 个端口（8000、8080、8888）进行了持续 72 个小时的高频测绘，检测其是否对外提供目录浏览和文件下载服务，以及是否为黑客“工作机”。 结果是，在 72 个小时内，30 个 B 段的 196 万 IP 地址中，我们测绘到有 176 个 IP 地址对外提供过目录浏览和文件下载服务， 其中 13 个是黑客“工作机”。 我们进而分析其 HTTP 服务的开放和关闭时间，这 176 个 IP 地址 中，有 70 个为临时开放 HTTP 服务后便关闭的情况。 因此，我们可以推断，与通过网空搜索引擎进行查询相比，针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 五．探寻互联网上已经存在的“猎人” 通过这种方式，作为黑客背后的“猎人”，可以直接获取黑客“工作机”上的攻击工具和工作结果。我们推测互联网上已经存在这样的“猎人”，我们尝试来寻找之。 通过IP 地址 83.136.*.* 的 8000 端口 HTTP 服务列出的文件，我们可判断其是一台黑客“工作机”。其中文件“nohup.out” 是 HTTP 服务的请求日志记录文件。 nohup.out文件存储了HTTP服务的请求记录在该文件中，我们发现有一个 IP 地址 34.140.*.* 的行为很可疑。该 IP 地址在 2023 年 1 月 30 日，遍历并下载了黑客“工作机”所有文件夹下的文件。我们使用创宇安全智脑查询 IP 地址 34.140.*.* 的威胁等级，发现该 IP 地址已被标记为恶意 IP 地址，标签为 “2022 二十大重保”、“2022 护网”、“恶意扫描”等，且在 2023 年 1 月 30 日确实发起过恶意扫描攻击行为。 该 IP 地址 34.140.*.* 并不是一个搜索引擎蜘蛛IP，因此我们推断它是一个“猎人 IP”。当然，它的目标可能不仅仅是针对黑客“工作机”，也可能针对所有存在目录浏览漏洞的服务器。 ①该IP的威胁等级为“中” ②该IP的标签有“2022二十大重保”、“恶意扫描”等。 ③该IP在2023年1月30日发起过23次恶意扫描攻击行为在文件“nohup.out”中，存在 3 个与 34.140.*.* 行为一样的 IP 地址，我们推测其均属于“猎人 IP”。通过这一个黑客“工作机”的示例，我们有理由推断，在互联网上存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 六．结语 黑客攻击者可能是一个人单打独斗，缺点是技术能力和实战经验有限，无法关注到方方面面的细节；也可能是团队合作，人员分工明确，各自负责编写工具、实施攻击、分析结果等，缺点是各自只关注自身负责的工作，未明确到位的工作或风险便无人关注。正是由于这些原因，使得我们通过 ZoomEye 网络空间搜索引擎，可以捕获到这些黑客的“工作机”。 善于攻击的黑客不一定善于防守，也可能以猎物的方式出现在高端的猎人面前。成为攻击事件背后的黑客，还是成为黑客背后的猎人，这是攻防对抗的升级，也是从上帝视角测绘网络空间的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/ [2] Cobalt Strike https://www.cobaltstrike.com/ [3] 创宇安全智脑 https://gac.yunaq.com/