在值守中发现攻击IP为阿里云机器，通过反查域名发现攻击者的个人博客和支付宝微信收款二维码，进一步通过ICP备案查询得到攻击者的完整姓名信息，同时发现其在GitHub、CSDN和百度贴吧等平台使用相同ID昵称。通过QQ邮箱和手机号码的收集，最终完成信息溯源。