V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
doveyoung
V2EX  ›  NGINX

近期在 nginx 日志发现几个奇怪的 IP 访问记录,怎么往下查没思路了,也不想查了,交给有缘的大佬吧

  •  
  •   doveyoung · 100 天前 · 3561 次点击
    这是一个创建于 100 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我没有图床,简化了一下初始数据,大家看看这个表格凑合下吧

    ip GET 请求时间 UA reference
    用户 1 的 ip GET /page?code=1234&time=20240625223527 6 月 25 日 22:35:27 WeChat/arm64 Weixin example.com
    106.55.200.233 腾讯云 GET /page?code=1234&time=20240625223527 6 月 26 日 03:16:37 Linux; U; Android 2.3.7 Nexus One Build null
    用户 2 的 ip GET /page?code=5678&time=20240527104924 5 月 27 日 10:49:24 QQBrowser/12.5.5646.400 example.com
    106.55.200.246 腾讯云 GET /page?code=5678&time=20240527104924 5 月 27 日 16:39:29 Linux; Android 4.4.2 Nexus 4 Build null

    以上是挑了几条日志来说明情况,我发现的问题主要是以下几点:

    1. 腾讯云的 IP 持续 get 我网站上的某些资源;
    2. 这些 get 看起来像是对一段时间之前的请求( code 和时间戳)重放;
    3. 这些不正常请求的 UA 看起来都不对劲,早期 Android ;
    4. 这些不正常请求的 UA 没有明显的爬虫标识;
    5. 在这些不正常的请求之前,那些正常的请求包含一些腾讯的 UA 标识;
    6. 这些不正常的请求,没有 reference 值;
    7. 第 5 条提到的标识包含 wechat 或者 qqBroswer 或者 microMessage;
    8. 第 2 点提到的现象,在微信的开发者论坛里有相似的现象;
    9. 在 nginx 日志里找了几个没有腾讯 UA 的 get 请求,未发现腾讯 IP 使用这些 code 的访问记录

    我在 nginx 里看到的类似日志非常多,我猜测事情是这样的:

    1. 使用微信或者 QQ 浏览器打开 example.com
    2. 做一些操作,发生了 GET example.com/page?code=code&time=time 请求
    3. 这些请求被记录在了某个地方
    4. hacker 获取到了这些记录
    5. hacker 用腾讯的 IP 重放了这些请求

    但是问了腾讯云的客服,客服说这些 IP 不会被分配给虚拟机或者容器等用户,不会吧不会吧,难道 hacker 就是腾讯云吗?

    话说大家还记得当时 QQ 和 Tim 访问 edge 浏览器历史记录的事情吗?

    下一步我本来是想想办法帮腾讯排除嫌疑,但是我累了,不想再查了,看日志眼睛快瞎了,把这些 UA 封禁了得了。

    我放弃了,我只能到此为止了,有兴趣的大佬请收下我最后的波纹~

    20 条回复    2024-07-26 17:03:32 +08:00
    hefish
        1
    hefish  
       100 天前
    这么好的锻炼机会,还是留给 op
    renmu
        2
    renmu  
       100 天前 via Android
    可能就是用户发了你的链接到微信,然后腾讯提前访问了一下
    zzh0410
        3
    zzh0410  
       99 天前
    @renmu #2 op 这个情况是请求被重放了,不是腾讯提前访问
    ysc3839
        4
    ysc3839  
       99 天前 via Android   ❤️ 1
    怀疑是扫描网站内容,决定是否屏蔽
    NanoApe
        5
    NanoApe  
       99 天前
    就是被重放了,但意图大概不是为了攻击。参照 https://www.v2ex.com/t/860476
    GeekGao
        6
    GeekGao  
       99 天前
    2 楼 正解
    billccn
        7
    billccn  
       99 天前
    想起看过的一个论文,以前 HTTPS 少的时候,墙内的人访问一个含敏感词的页面过一会儿以后会收到一个从运营商核心网 IP 来的重放。论文作者猜测是触发之前墙并没有保存已经处理过的数据包的内容,触发以后想看看完整的页面是什么。
    doveyoung
        8
    doveyoung  
    OP
       99 天前
    @billccn 忘了说,从客户端到 nginx 之间是 https 的。所以我一直在纠结这个 code 是怎么被第三方获取的,如果不是第三方,那就是浏览器了呗
    z960112559
        9
    z960112559  
       99 天前
    阿里云、腾讯云 服务器一到手,我就把它监控插件卸载了
    lx0758
        10
    lx0758  
       99 天前
    是不是腾讯云的服务器, 是的话大概率是腾讯云的漏洞扫描
    doveyoung
        11
    doveyoung  
    OP
       99 天前
    @lx0758 不是,是机房的物理机
    tool2dx
        12
    tool2dx  
       99 天前
    也许是微信的内容审核机制,凌晨三点正常用户都在睡觉。

    你用的是 HTTPS ,黑客也没办法截取 URL 的 CODE 字段。
    body007
        13
    body007  
       99 天前   ❤️ 1
    有人把 k8s 的 hook 发送微信传输助手,本意时下班回去后执行。结果刚发送微信就被执行了,导致那哥们 k8s 集群提前执行 hook🤣我估计微信对任何 url 都会请求一下试试,也不知道后续额外做啥了。
    kerb15
        14
    kerb15  
       99 天前
    @body007 那是不是可以利用微信帮忙点广告
    body007
        15
    body007  
       99 天前
    @kerb15 反向思维,让微信当牛做马 ,格局打开,想攻击谁,就往微信里面发那个地址的 url 。
    UN2758
        16
    UN2758  
       99 天前
    @body007 #13 这瓜保真吗?微信真就监控一切啊
    body007
        17
    body007  
       99 天前
    @UN2758 /t/1007883 ,保真
    doveyoung
        18
    doveyoung  
    OP
       99 天前
    @body007 #17 这种请求应该不是从微信服务器发出的,是从发送方或者接受方的客户端发出的,是为了显示链接卡片
    Harharhar
        19
    Harharhar  
       99 天前
    Google 直接搜,发现这两个 IP 都出现在这份文档,但老实讲我没看懂这是干啥的
    https://main.qcloudimg.com/raw/document/product/pdf/1267_50652_cn.pdf
    doveyoung
        20
    doveyoung  
    OP
       99 天前
    @Harharhar 这两个 IP 最早出现在腾讯云漏洞扫描服务的地址池里,但是不知道为什么最近文档更新了,漏洞扫描的文档显示了一批新的 IP ,可能是有人找客服质疑了吧
    你发的这个 wedata 文档在腾讯云上也有产品介绍,我也看不懂它的使用场景,好像是集合多个数据源,供其他应用调用?
    https://cloud.tencent.com/document/product/1267/94885
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2726 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 12:33 · PVG 20:33 · LAX 05:33 · JFK 08:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.