起因

昨天早上醒来,发现博客推送了几条无意义的评论,根据 IP 反查到域名,大致了解了一下,也没多想,把评论删掉了。

今天早上醒来,又一次遇到了同样的情况。大概是我设置了评论提交频率,所以垃圾评论只有几条。但是我想挖掘一下对方到底是何方神圣,记录下来复盘。

基本信息

评论提交者的昵称:gBqsPxAZ或者匿名

评论提交者的邮箱:testing@example.com,显然是假的;

评论提交者的 IP :222.180.198.54。

收集IP情报

在微步云情报社区查询到,该 IP 属于位于重庆的企业专线,早些时候就已经被打上了“恶意”标签。根据微步情报局掌握的信息,该 IP 地址在2021年07月22日到2024年08月16日期间发起了多次网络攻击。有2个与该 IP 同 C 段的 IP 地址也被判定为恶意/可疑。

微步云IP情报概览

既然是企业专线,那大概可以反查一下其解析的域名。该 IP 解析了很多xway.cn的子域名,尝试访问了一下,子域名无法直接访问。

到这一步的时候我还在想,会不会是某个安全意识薄弱的小微企业的服务器沦陷,被当成肉鸡发起网络攻击。但访问该域名主站后,这个想法被彻底打消,与之而来的还有一点阴谋论的感觉。

该域名主站截图

按理说,一个网络安全企业是不会发生上面我猜想的这种情况。看到右下角的“中小企业免费基础防护对接人”,总感觉哪里有点不对劲,脑海中浮现了以前某厂商攻击自己用户再借机卖防御的案例。

审计日志和措施

考虑到这种情况是连续出现,所以我查看了网站访问日志和 CDN 的统计信息。

截至写这篇日志时,网站访问日志的大小已有29MB,从六点多开始,该 ip 的访问记录超过两万次,请求内容大概就是扫描器访问的不存在路径;

CDN 控制台那边可以看到,8:30 的时候达到了最大带宽4.41Mbps,当时(不是截止当时)流量157.73MB,回源流量7.45MB,来自该 IP 的请求次数超过15万次。

在漏洞入侵分析中,该 IP 的攻击类型包括敏感文件访问、sql 注入和 xss 跨站攻击等。好在我博客是纯静态,所以通常情况下不存在这些漏洞,加上日志数量过大,所以没有逐一去分析。

态势感知里的攻击类型占比

这些攻击不像是 CC 那样具有很强的目的性,但为了安全起见,我还是采取了以下操作:

1.备份网站访问日志,当初公安网备的时候有要求,在特殊情况下可能会交给叔叔;

2.在评论系统中把其评论的昵称和邮箱设为违禁词,不允许提交评论;

3.将该 IP 添加到黑名单,当然也不是完全禁止访问,而是采用了比较温和的 js 质询。

其它猜想

在通过注册人反查域名的时候发现该注册人(企业)还有三个域名,其中两个是互联网安全相关的网站和论坛,另外两个看起来就像针对微软和office用户的钓鱼网站。

注册人反查域名结果

两个看起来像钓鱼网站的内容让我一度怀疑是不是护网行动带来的渗透测试(叔叔当初说过,每年都会对备案网站进行渗透测试),但是很快又打消了这种猜测,因为 Twikoo 群里有小伙伴也经历了类似的垃圾评论事件,而他的网站没有备案。

貌似钓鱼网站的单页内容

写在最后

11 点的时候我与对方工作人员取得联系,工作人员询问了我所在地域后,告知应该是网安总队的监测。同时一位大佬告诉我:公安网信授权网安公司对其辖区系统进行扫描或渗透,不需要你的授权,也不会违反网安法。但同时允许你直接向网安公司提交停止扫描的要求。

其实我每天面临的恶意扫描非常之多,CC 攻击也一直在持续。因为此前学习过网络web渗透,对网络安全还是有比较深刻的感触,所以我一直坚持使用纯静态的博客系统,相比动态网站程序,纯静态网页面对 sql 注入、xss 跨站等威胁时更安全一些。