网站被恶意镜像

更新日期: 2021-01-16 阅读次数: 2500 字数: 451 分类: 安全

今天在查看百度统计时,偶然发现两个奇怪的域名访问记录,这两个域名不是我当前网站的域名,即

www.sunzhongwei.com

而是两个垃圾域名:

  • jqnbaz.club
  • www.jqnbaz.club

但是,打开之后,可以看到,内容完全一致,实时同步。除了图片没有之外,因为我使用了七牛云的 CDN,设置了图片防盗链。

禁止这两个域名的访问

为了确定对方的镜像机制,我访问了一下对方的页面,同时 tail 查看我服务器上的 Nginx 日志。

13.125.220.1 - - [16/Jan/2021:10:46:48 +0800] "GET /using-thunderbolt-download-android-studio-canary-build HTTP/1.1" 200 11418 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" "3.61"
13.125.220.1 - - [16/Jan/2021:10:47:19 +0800] "GET /solve-the-millet-mobile-phone-on-google-play-cant-download-application HTTP/1.1" 200 14276 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" "4.05"

可以看到对方是伪装成了百度爬虫的 User Agent,通过转发实现的网站镜像。

于是,我直接在阿里云安全组上封禁了 13.125.220.1 这个 IP 的访问。

再次访问这两个恶意域名。显示超时。

13.125.220.1 这个 IP 是韩国首尔亚马逊云数据中心的服务器。但肯定是个中国人,否则怎么会用百度爬虫来伪装。

对方的无耻之处

其使用了 Cloudflare 的 Always Online 功能。所以,即便我封了这个 IP,但是 Cloudflare 还是可以自动显示其最后一次成功的镜像。

This page (http://jqnbaz.club/) is currently offline. However, because the site uses Cloudflare's Always Online™ technology you can continue to surf a snapshot of the site.

dig 域名记录:

jqnbaz.club.            3600    IN      NS      naomi.ns.cloudflare.com.
jqnbaz.club.            3600    IN      NS      skip.ns.cloudflare.com.
jqnbaz.club.            300     IN      A       104.21.84.44
jqnbaz.club.            300     IN      A       172.67.186.61

规避方法

  • 定期检查网站的访问域名列表,百度统计后台有这个功能
  • 网站页面中,部分常用链接还是加上域名前缀比较好

关于作者 🌱

我是来自山东烟台的一名开发者,有敢兴趣的话题,或者软件开发需求,欢迎加微信 zhongwei 聊聊, 查看更多联系方式