是谁让我的线上测试服务器突然变成游戏私服

测试服务器又挂了~

前几天，老板微信找到我，上来就开门见山的告诉了我出了什么问题，大概意思就是：我们测试服务器又挂了，你怎么管理的服务器，测试服务器经常挂掉很影响公司形象的……

PS:求老板看到这段话别怼我 o(╥﹏╥)o

但是鉴于前几天时间不多，便简单的处理了一下服务器的网络服务便下线了。因为上次服务挂掉的时候是因为服务器的测试网站被删了，所以便知道了服务器已经沦陷，被人家随意蹂躏了。花了一些时间处理好测试网站后就下线了，没有花时间分析入侵者以及他在咱们服务器里面干了什么。
时间来到昨天，腾出了一个晚上。想着公司的测试服务器是时候要好好地排查一下安全问题以及分析一下入侵者的行径和他在里面干了什么了。

远程过去

话不多说，马上登录过去看看。

在登录页面，可以看到左下角那几个猖獗的账号，入侵了别人服务器，不好好隐藏一下自己，还公然show出自己的用户名，实在太流批了。

使用D盾扫描看看

进入主机后，下了个D盾简单的扫了一下用户目录。果然有点东西的,在root$这个账号下有菜刀用的马。估计是传了一个小马进来然后再菜刀上大马搞的服务器。然后再另外一个用户下面呈现独占模式，所以，应该他这个账号还没注销。

看看进程列表果然有很多这个用户下启动的软件，包括了他的游戏私服以及聊天机器人在内的软件进程。
接着到终端下面看一下什么时候连进去的。

居然昨天下午5点还连进去过。太叼了吧。然后我便到控制台创建一个快照，以备后续取证的时候需要证据的时候用到，然后我就把它账号给注销了。顺带把他的进程也给清掉了。

找出他是谁

在进程里面找到了他机器人是由“酷Q air”提供服务的，进入他的聊天机器人文件夹里面，打开一下他的机器人。看到了一个账号，数了一下，10位数，大概猜测是QQ号。

重复登录一下看看，果然验证了我的猜测。

接着便尝试到QQ中找一下这个账号，了解一下情况。

使用小号访问他的空间看看

可以很直观的看出这个只是一个小号。能挖掘的信息不多。然后便放弃了这个信息，准备挖其他信息。
回到服务器上面。看到他其中的一个用户名qq11xxxxx24

所以没猜错的话，这个应该也是他的QQ号。OK，还是用小号尝试找找看他的信息。

“咸鱼王”的头像壁纸跟小号的都是“我的世界”的壁纸。所以基本可以大概率确定两个账号为同一个人所有。

找到他的位置

而且他的所在地是“河南郑州”，是真的在河南吗？
接着到QQ空间看看情况怎么样。

发现他昨天早上还发了一条说说，定位地点就是郑州市某学院。喜欢玩“我的世界””王者荣耀“，刚打上砖石，让他感觉好嗨哟，感觉人生已经到达了高潮~~~
后续多条说说均定位于郑州市某学院，后面有一条定位点是郑州市亚太明珠，时间是，2月21，以及上一两条信息都是在那个地方，再联系上他是专科学生，2月21前大概率是寒假时间。基本可以大概率推断出，这个地方就是他的家所在地区了。

在多条说说中的定位可以看到他的定位点是某汽车工厂，联合他的学历，可以猜测到那个地方是他的实习工作地点了。

找到他叫啥

但是直到现在，我们还是不知道他叫什么。。。
所以，我又回到了服务器，看一下还能不能挖出点信息。
回到服务器，找到他大号对应的账号的文件夹里面。到roaming这个缓存数据文件夹里面找了找东西，无意中发现了百度云盘？为啥有百度云盘？
难道他文档里面那些私服文件都是百度云盘下载的？

打开百度云盘看一下，他居然点了记住密码。。。
顺利进入里面，看了一下传输列表，果然文件都是百度云盘下的。

但是这些东西对我来说没用呀。等等，百度云盘的账号一般有两种，一种是邮箱型，另外一种是手机号码型。
他会不会是手机号码型的呢？
点击切换账号后，结果另人十分欣喜。

拿到手机号了，就肯定要打开某付宝啦。看看这个兄弟的大宝名。

xx钰，嗯，让我猜猜他姓啥。赵、钱、孙、陈、张…………都不对。。。
这可咋办哟，正当我一筹莫展的时候，隔壁的朋友说：你不是有他空间了么，到空间里面看啊，肯定有他名字出现的，比如他生日什么的时候，就会有人留言说出他的名字的。
诶，这可太机智了，我就知道QQ空间里面，能挖的信息不止那么一点点的。
随即又来到他的空间，Ctrl+F，一搜“x钰”，再翻多几个页面。就出现了。