知道创宇盾监测到某政府网站存在暗链,监测报告发出去之后,才发现事情没有那么简单。

初始事件

某平台对某gov政府实时监测,突然预警,存在暗链,并且将地址直接爆出来:http://www.XXXX.gov.cn/qlwbsnmxb/54225.html。
对其进行访问,直接跳转至博彩网站,如下图所示:



我和我的小伙伴惊呆了,当时出的结论是后台沦陷?服务器沦陷?未授权访问的编辑器可以上传html?于是给的关停整改的一系列建议。

事件发酵

监测方and被监测方and我,人隔三地。这个时候,被监测方说,他们访问是404,并没有暗链的页面。但是,当时我和我的小伙伴都能发生跳转的。而且令人奇怪的事情是:
根目录下是正常的,出现暗链的页面明显在一个二级目录下面,这他妈不是妥妥的被黑掉了嘛?与被监测方沟通,让他们检查源码,覆盖备份等方式去监测是否服务器沦陷。
但是最终结果是服务器的的确确是安全的?难道dns劫持?流量劫持?限制ip?有点懵逼了已经。ip138查询该网站的IP地址为47.75.XX.XX,香港阿里云。

而他们的网站真实IP应该是61.xx.xx.xx。我再询问,是否是域名服务商出问题了,他们说也完全没有问题。我已经懵逼了,为什么根目录是好的网站,二级目录下面的暗链不存在?

事件推理

咨询大佬,大佬给的结论是dns劫持,当时的想法是,根目录下是真的网站,dns劫持不是应该全部劫持嘛?纠结住了。我在绑定了hosts文件后,发现在访问那个暗链的html真的404了。
卧槽,这他妈是什么情况?

与小伙伴讨论,小伙伴也惊呆了,猜测的结论是域名服务商的账号被搞了,域名绑定到别的IP地址,采用nginx反向代理。但是被监测方他说域名服务商没有问题。

em….好吧,我们开始nslookup、微步在线情报分析、dig @+trace,发现了一条比较奇怪的cname值:XXXgov.com.amdc6676.net。如图所示:



针对这个咨询大佬。大佬给了肯定的答复!

那这就应该是被人改掉了,cname的值。域名服务商管理平台那里的事情,再与被监测方沟通。此时眉目初现。

事件尾声

领导问,为什么验证的时候说下结论说是有暗链,是沦陷。当时我就怂了,但是这个锅确实是我的错误,赶紧背锅QAQ。次日,被监测方检查完毕,如图所示:

总结

虽然犯错了,但是我觉得整个事件还是挺有意义,我这条小菜鸡在这个事件中受益匪浅。

留言

2018-05-31

本文总阅读量
⬆︎TOP