目录
事件概述
事件发生时间:2024年10月12日早上
广东省教育厅已发布说明,事件发生于早上9点51分。详细说明可参考以下链接:
广东省教育厅官方公告
调查详情
调查域名
- x.lx2.com(统一在 8:47 发送)
- dgczzz.xyz(统一在 8:52 发送)
域名 x.lx2.com 调查
发现该域名不支持 HTTPS,支持国内外访问,使用 80 端口 HTTP。
解析IP如下:
- 47.96.5.29
- 116.62.22.168
- 121.43.189.129
- 116.62.114.203
- 47.96.145.148
- 47.97.113.167
所有IP均位于杭州阿里云。
HTTP记录
HTTP/1.1 307 Temporary Redirect
Content-Type: text/html; charset=utf-8
Location: http://co1.ds.51daba.com.cn/H4gDxifog7
Date: Sat, 12 Oct 2024 03:02:50 GMT
Content-Length: 0
HTTP/1.1 302 Found
Cache-Control: no-store, no-cache, must-revalidate
Content-Type: text/html; charset=UTF-8
Date: Sat, 12 Oct 2024 03:02:52 GMT
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Location: http://dl2-1.ds.51daba.com.cn/#/regtoken?ttname=MTU4LS0yNy4xNDguMTQyLjE2OC0tMTcyODcwMjE3Mg==&rand=1728702172
Pragma: no-cache
Server: nginx
Set-Cookie: PHPSESSID=tfuceq5vdebh2fvtkgf719sc69; path=/
X-Cache: BYPASS
Content-Length: 0
HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Length: 525
Content-Type: text/html
Date: Sat, 12 Oct 2024 03:02:53 GMT
Etag: "66fe6aa5-20d"
Last-Modified: Thu, 03 Oct 2024 09:57:57 GMT
Server: nginx
进一步调查发现,目前功能已不可用,无法取证。
调查域名 dgczzz.xyz
发现该域名支持国内外访问,使用 80 端口 HTTP 和 443 端口 HTTPS。
解析IP如下:
- 118.99.37.161
- 118.99.37.159
- 118.99.37.158
- 118.99.37.169
- 118.99.37.170
- 118.99.37.156
- 106.74.25.198
其中,118.99.37.xxx 属于 Forewin Telecom Group Limited,ISP 位于香港。
HTTP响应记录
HTTP/1.1 200
Date: Sat, 12 Oct 2024 03:07:22 GMT
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Server: cdn
X-Cache-Status: HIT
Content-Encoding: gzip
访问后发现是一个标题为“兔兔直播”的违法网站,且使用了阿里的加速服务:
https://pinchasrc.oss-accelerate.aliyuncs.com
结论
从两个域名的表现来看,不太像是同一个团伙所为。
Comments NOTHING