我没有图床,简化了一下初始数据,大家看看这个表格凑合下吧
ip | GET | 请求时间 | UA | reference |
---|---|---|---|---|
用户 1 的 ip | GET /page?code=1234&time=20240625223527 | 6 月 25 日 22:35:27 | WeChat/arm64 Weixin | example.com |
106.55.200.233 腾讯云 | GET /page?code=1234&time=20240625223527 | 6 月 26 日 03:16:37 | Linux; U; Android 2.3.7 Nexus One Build | null |
用户 2 的 ip | GET /page?code=5678&time=20240527104924 | 5 月 27 日 10:49:24 | QQBrowser/12.5.5646.400 | example.com |
106.55.200.246 腾讯云 | GET /page?code=5678&time=20240527104924 | 5 月 27 日 16:39:29 | Linux; Android 4.4.2 Nexus 4 Build | null |
以上是挑了几条日志来说明情况,我发现的问题主要是以下几点:
我在 nginx 里看到的类似日志非常多,我猜测事情是这样的:
但是问了腾讯云的客服,客服说这些 IP 不会被分配给虚拟机或者容器等用户,不会吧不会吧,难道 hacker 就是腾讯云吗?
话说大家还记得当时 QQ 和 Tim 访问 edge 浏览器历史记录的事情吗?
下一步我本来是想想办法帮腾讯排除嫌疑,但是我累了,不想再查了,看日志眼睛快瞎了,把这些 UA 封禁了得了。
我放弃了,我只能到此为止了,有兴趣的大佬请收下我最后的波纹~
1
hefish 112 天前
这么好的锻炼机会,还是留给 op
|
2
renmu 112 天前 via Android
可能就是用户发了你的链接到微信,然后腾讯提前访问了一下
|
4
ysc3839 112 天前 via Android 1
怀疑是扫描网站内容,决定是否屏蔽
|
5
NanoApe 112 天前
就是被重放了,但意图大概不是为了攻击。参照 https://www.v2ex.com/t/860476
|
6
GeekGao 112 天前
2 楼 正解
|
7
billccn 111 天前
想起看过的一个论文,以前 HTTPS 少的时候,墙内的人访问一个含敏感词的页面过一会儿以后会收到一个从运营商核心网 IP 来的重放。论文作者猜测是触发之前墙并没有保存已经处理过的数据包的内容,触发以后想看看完整的页面是什么。
|
8
doveyoung OP @billccn 忘了说,从客户端到 nginx 之间是 https 的。所以我一直在纠结这个 code 是怎么被第三方获取的,如果不是第三方,那就是浏览器了呗
|
9
z960112559 111 天前
阿里云、腾讯云 服务器一到手,我就把它监控插件卸载了
|
10
lx0758 111 天前
是不是腾讯云的服务器, 是的话大概率是腾讯云的漏洞扫描
|
12
tool2dx 111 天前
也许是微信的内容审核机制,凌晨三点正常用户都在睡觉。
你用的是 HTTPS ,黑客也没办法截取 URL 的 CODE 字段。 |
13
body007 111 天前 1
有人把 k8s 的 hook 发送微信传输助手,本意时下班回去后执行。结果刚发送微信就被执行了,导致那哥们 k8s 集群提前执行 hook🤣我估计微信对任何 url 都会请求一下试试,也不知道后续额外做啥了。
|
17
body007 111 天前
|
19
Harharhar 111 天前
Google 直接搜,发现这两个 IP 都出现在这份文档,但老实讲我没看懂这是干啥的
https://main.qcloudimg.com/raw/document/product/pdf/1267_50652_cn.pdf |
20
doveyoung OP @Harharhar 这两个 IP 最早出现在腾讯云漏洞扫描服务的地址池里,但是不知道为什么最近文档更新了,漏洞扫描的文档显示了一批新的 IP ,可能是有人找客服质疑了吧
你发的这个 wedata 文档在腾讯云上也有产品介绍,我也看不懂它的使用场景,好像是集合多个数据源,供其他应用调用? https://cloud.tencent.com/document/product/1267/94885 |