事件概述

事件发生时间:2024年10月12日早上

广东省教育厅已发布说明,事件发生于早上9点51分。详细说明可参考以下链接:
广东省教育厅官方公告

调查详情

调查域名

  • x.lx2.com(统一在 8:47 发送)
  • dgczzz.xyz(统一在 8:52 发送)

域名 x.lx2.com 调查

发现该域名不支持 HTTPS,支持国内外访问,使用 80 端口 HTTP。

解析IP如下:

  • 47.96.5.29
  • 116.62.22.168
  • 121.43.189.129
  • 116.62.114.203
  • 47.96.145.148
  • 47.97.113.167

所有IP均位于杭州阿里云。

HTTP记录


HTTP/1.1 307 Temporary Redirect
Content-Type: text/html; charset=utf-8
Location: http://co1.ds.51daba.com.cn/H4gDxifog7
Date: Sat, 12 Oct 2024 03:02:50 GMT
Content-Length: 0

HTTP/1.1 302 Found
Cache-Control: no-store, no-cache, must-revalidate
Content-Type: text/html; charset=UTF-8
Date: Sat, 12 Oct 2024 03:02:52 GMT
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Location: http://dl2-1.ds.51daba.com.cn/#/regtoken?ttname=MTU4LS0yNy4xNDguMTQyLjE2OC0tMTcyODcwMjE3Mg==&rand=1728702172
Pragma: no-cache
Server: nginx
Set-Cookie: PHPSESSID=tfuceq5vdebh2fvtkgf719sc69; path=/
X-Cache: BYPASS
Content-Length: 0

HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Length: 525
Content-Type: text/html
Date: Sat, 12 Oct 2024 03:02:53 GMT
Etag: "66fe6aa5-20d"
Last-Modified: Thu, 03 Oct 2024 09:57:57 GMT
Server: nginx

进一步调查发现,目前功能已不可用,无法取证。

调查域名 dgczzz.xyz

发现该域名支持国内外访问,使用 80 端口 HTTP 和 443 端口 HTTPS。

解析IP如下:

  • 118.99.37.161
  • 118.99.37.159
  • 118.99.37.158
  • 118.99.37.169
  • 118.99.37.170
  • 118.99.37.156
  • 106.74.25.198

其中,118.99.37.xxx 属于 Forewin Telecom Group Limited,ISP 位于香港。

HTTP响应记录


HTTP/1.1 200 
Date: Sat, 12 Oct 2024 03:07:22 GMT
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Server: cdn
X-Cache-Status: HIT
Content-Encoding: gzip

访问后发现是一个标题为“兔兔直播”的违法网站,且使用了阿里的加速服务:
https://pinchasrc.oss-accelerate.aliyuncs.com

结论

从两个域名的表现来看,不太像是同一个团伙所为。

  • alipay_img
  • wechat_img
最后更新于 2024-10-15