“I use the LFI/RFI method to injecting, and then I upload my shell to deface the site”（我用了本地文件包含和远程文件包含漏洞，上传了我的webshell。）

加速乐安全团队根据黑页中的信息，对这起大规模攻击做了一次跟踪。在被黑的页面中，漂浮着一张阿尔及利亚国的国旗，从而也说明了攻击者所在国家。另外，黑页下方还列出了参与攻击的ID：

“Greetz: Bb0yH4cK3r_Dz | BOB_Dz | Dz Mafia | HTC 28 DZ | Kader11000Ked Ans | Smail002 | TiGER-M@TE | The-DarKKn!ght | x00t | yasMouh”。

在页面底部还留有一个Email：barbaros@live.ru。最后写了一句“To be continued...”嚣张地告诉我们，攻击还会持续。

起初我们认为“Barbaros-DZ”是一个团队（事实上很多报道中，Barbaros-DZ也被报道成黑客团队），于是在列举的ID中，挑选了第一个ID——“Bb0yH4cK3r_Dz”做了调查。而后来却发现“Barbaros-DZ”不是一个组织名，而是一个人的ID。

首先找到的是Bb0yH4cK3r_Dz的Twitter帐号（https://twitter.com/Bb0yH4cK3r_Dz）：

他发的推文中，粗鲁地说了一句“SLamAlykomi Am !-Bb0yH4cK3r_Dz-! , Am Algerian Muslim Hacker and i Want To Join Ur Group :D Fuck France”，表明了他对法国的厌恶。

并且他写过一些攻击脚本，这些脚本中留下了他的电子邮件。

利用这些信息，又找到他经常活跃在www.alboraaq.com这个黑客论坛上：

而后又发现他攻击的一个网站（http://lojadamaquina.com.br/）并篡改了主页。

这个黑页中，说明了这是一次有组织的攻击，来自于www.is-sec.org的黑客组织所为。随后找到了该组织的主页：

经过对页面的翻译，确定该组织是一个信仰伊斯兰教的黑客组织，并且加入该组织的条件是要信仰伊斯兰教，而Bb0yH4cK3r_Dz正好是这里的成员，所以他可能是伊斯兰教教徒。

这个组织同时还有电话，以及服务，说明可能是一个营利性团队。

之后，又在另外一个黑客组织“h4x0rteam”（http://h4x0rteam.go.ro/）找到了他，说明此人同时身处多个黑客组织。

这个组织的网页列出了所有成员名单。在这个列表中，除了找到Bb0yH4cK3r_Dz，更值得注意的是他旁边的ID——Barbaros-DZ！这说明“Barbaros-DZ”很可能不是一个组织名，而是一个人的ID。