本文及资源最后更新时间 2021-09-01 by sky995
被攻击了一整天了,现在才有时间写点。
首先和灰产集团说说,涉事域名我们已经协助客户转到别处管理,我们现在没有任何权限管理该客户域名,你们一直攻击我们也没用。
昨天早上,来自上级注册商1API GMBH的法务部门发来邮件,说他们的服务器被我们代理号下的一个域名 maccms.la 的持有人攻击。并且附带技术捕捉到的攻击信息。
同一天,客服工单那边收到忘记该域名所在的账号的密码和邮箱请求。
我觉得两件事在一起同时发生的概率很低,多了一个心眼。同时发邮件给原账户邮箱,以及微信联系原账户持有人。
经过核实,原账户持有人并没有丢失遗忘邮箱和密码,也就是有人想要他的账户域名。被发现后,该账号在工单里面表示诚意收购 Ymp。工单里面,我是直接回答拒绝。
以为事情告一段落了。结果昨晚8点55分左右,收到来自菲律宾的第一个电话。表示收购Ymp.com。被拒绝后。几分钟后,又来了一个电话,希望以20万的价格让我们帮忙盗取用户域名 maccms.la,并表示可以要价更多。
通话录音如下:
当然,这么稚嫩的声音是小弟打电话来的。这么稚嫩的声音,不像在工单里面跟我聊股票政治话题的大佬。
随后网站 Ymp.com 无法打开。服务器直接100%CPU卡死。
已经好几年没有人攻击我们这个小域名注册网站。顿时不知所措。
所以昨晚在公众号先发了一个通知,告诉大家,我们遭遇了攻击。
网站打不开,是有可能会被误以为倒闭跑路,严重影响了20多年做域名注册积累的信用。
好像确实从 ffnn.com开始,历经更换域名999.cc,zhuce.com,dns.mba。确实做域名代理注册有20多年了。
经过一段时间的努力,网站勉强可以打开了。
下午4点36分左右,菲律宾再次打来两个电话,我憋了一肚子气,直接挂掉。
然后后面迎来了一波超强攻击,到目前为止还在继续。
由于不想拖累上级服务商1API GMBH,毕竟他们在域名也只是赚几个美金注册费,却承受了很大的攻击。
在下午,我们已经协助了用户把域名转移到美国上市公司 godaddy(另外购买了域名保护)他自己管理。但由于godaddy也是有被盗的历史情况发生。希望他的域名不会再遭遇同样的事情,希望友商godaddy不要出现内鬼。
毕竟,这个客户称他原来的域名 maccms.com 就是在其他注册商被盗了。甚至被盗域名的人嘲笑。
这样,由于我们网站和上级1API GMBH均没有了这个域名管理权,理论上,灰产们威胁利诱我们盗取客户域名的理由就没有了。
这个事情是很惨,会想不开,原来不作恶,也会被人报复的。
不过看了半佛仙人一篇文章,说做网络游戏的小公司,一开公测就直接被黑产组织攻击勒索到倒闭。貌似好像我们也没那么惨。
经历过这个事情,是很害怕的。首先一看到菲律宾的电话就害怕。
谁不知道电信诈骗,赌博诈骗,色情诈骗等等的,全部都在缅甸,柬埔寨,菲律宾等地方。
这伙人有钱,不知道会搞些什么事情。这么容易找到我电话。
毕竟他们有这么多钱,在国内有的是人为他们服务。顿时觉得安全没有保障。
回过头来,研究了一下客户的域名 maccms.la 为什么这么值钱。
这个域名打开只是一个介绍软件的页面。软件也是开源的。下载的地方在 github.com 。
软件作者也不是很有钱,域名转移到godaddy要300元也跟我表达了肉疼了一下。
但是我从软件介绍里面,发现了一点东西。
https://github.com/magicblack/maccms10/issues/678
这一句话:
再次声明,我们已经在github上稳定更新1年多,期间修复了多处重大安全漏洞,为站长挽回巨大的损失。
发布的所有版本更新服务器一直用的是update.maccms.la, 这个期间没有其他任何渠道更新苹果cms。!
我咨询了一些做网站的朋友,有朋友告诉我,苹果CMS预计有数以万计以上的网站在使用。
这样一旦灰产拿到maccms.la这个域名,就有可能通过域名推送更新系统消息给使用该软件的站长们,达到全网大规模推送木马后门,诈骗信息大规模植入别人的网站。
别人辛辛苦苦的流量,都会被灰产集团获得。这特么太恐怖了。
回头看再听一下录音,对方说职业操守也有一个价格。真是讽刺。
我们只是有域名管理权,就被这样利诱和威胁。而且加码开到了大部分人都想要的6位数,甚至狠一点可能出到7位数。
我在想那些真正有实权的,有多少能抵挡得住。看来,该看一看扫黑风暴了。