@hqt1021 #97 工具什么的其实好写，但是突然集中在近期，行迹未免太可疑，感觉是有组织的

百密并无一疏，目前还不知道是谁发起的攻击，只知道大概的手段

通过 web 漏洞打进别人的服务器，服务器种 agent ，通过 agent 下发爆破任务回传至 server 端

希望 v 友在发现恶意登录 IP 的同时，把恶意 IP 也发出来，供大家参考或者进行下一步操作

@huangxiao123 #87 该信息仅供参考

@houzhishi #64 有可能，黑产哥“无所不能”

@lifei6671 #76 Get it!

@hqt1021 #84 前面有疑似是爆破软件的内存分析，看上去是分布式爆破，golang 写的，CS 端的

补充一段，前面老哥 PM 我提到的：

是临近护网，由 G*V 聘用国内**信组织的提前护网漏扫的操作（不通知 GA 一所），会对泄露的账户进行扫号操作

@patrickyoung #58 感谢补充，已回信

@life90 #47 感谢补充

@uiiytwyfsdtr #49 感谢提醒

@patrickyoung #50 [email protected]

@nothingistrue #52 是的，有些马大哈的用户，刚好点中那个 code ，就 G 了

@uiiytwyfsdtr #49 我感觉是微软数据库被人打了，不然不可能有那么精准的邮箱列表

@PbCopy111 #42 我没有，hotmail 是独立的

@ztjal #38 这就是为什么会有大量 IP 去爆破

@huangxiao123 #33 估计是，打 EXP ，然后用 agent 端控制，下发爆破任务

@xiaozecn #31 感谢补充信息，但是本人是自从昨天才开始收到这样的信息

这个 IP：194.32.120.86 ，在微步上捕获的数据包，在打 CVE-2017-9841 的 EXP

https://imgur.com/3FqDuj8

现在可以确定的是，攻击者有一份准确的账户列表，但其数据来源未知，也不知道是否包含密码，用大量的 IP 去爆破，可能是僵尸网络