V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mk0114
V2EX  ›  程序员

二级域名为什么那么快就暴露了,有监听吗?

  •  
  •   mk0114 · 2022-09-06 15:45:41 +08:00 · 1864 次点击
    这是一个创建于 808 天前的主题,其中的信息可能已经有所发展或是发生改变。
    新开了一台国内腾讯轻量,惊奇的发现 80 和 443 端口没封。但也不敢直接用,就在阿里解析了一个泛二级域名到这台服务器。*.xxx.com 这样的。也就跑了个自己用的 gitlab ,nextcloud 这些。
    ip 访问直接 444 。80 也是 444
    443 域名不对 ssl 拒绝握手,理论上不存在证书域名泄露,就算泄露,证书也是泛域名证书。

    然后离奇的来了。我随便 nginx 配置个 server_name 比如说 abc.xxx.com ,只要我用自己浏览器一访问。立马就有陌生 ip 来用这个 host 访问。
    我还特意用本机 hosts 文件做了解析,他们也能立马知道。应该不是 DNS 泄露的。
    二级域名也不是那种字典库里的,任何随机字符串他们都能监听到。
    有些还会用"GET /api/exclude/siteConfig/register HTTP/1.1"来测试我的站点。"

    他们是怎么知道我的二级域名的?
    maguangyuan
        1
    maguangyuan  
       2022-09-06 15:48:20 +08:00
    天人感应
    yfugibr
        2
    yfugibr  
       2022-09-06 15:48:37 +08:00
    /t/195209

    检查一下 ua ,大概率是搜索引擎的爬虫
    yanqiyu
        3
    yanqiyu  
       2022-09-06 15:49:01 +08:00   ❤️ 1
    能想到的也就中间设备监听了 SNI ,你的电脑浏览器历史记录之类的被偷了
    Foxkeh
        4
    Foxkeh  
       2022-09-06 15:49:44 +08:00
    浏览器泄露的?
    kokutou
        5
    kokutou  
       2022-09-06 15:50:02 +08:00 via Android
    国产浏览器?
    有杀毒软件?
    mk0114
        6
    mk0114  
    OP
       2022-09-06 15:51:52 +08:00
    @yfugibr 不是爬虫,ua 都是乱七八糟的 "Dalvik/2.1.0 (Linux; U; Android 9.0; ZTE BA520 Build/MRA58K)""Mozilla/5.0 (Linux; U; Android 7.1.1; zh-cn; vivo X20A Build/NMF26X)
    mk0114
        7
    mk0114  
    OP
       2022-09-06 15:52:37 +08:00
    @kokutou edge ,应该不是,因为我用流量手机访问也是会暴露。
    Routeros
        8
    Routeros  
       2022-09-06 15:52:39 +08:00
    围观
    mk0114
        9
    mk0114  
    OP
       2022-09-06 15:53:59 +08:00
    @yanqiyu 电脑端是 edge ,用手机流量 edge 也会暴露
    mk0114
        10
    mk0114  
    OP
       2022-09-06 15:56:40 +08:00
    还有这种访问,这种用 IP 的我反倒能理解
    180.101.245.251 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
    220.196.160.95 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
    180.101.245.247 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
    59.83.208.108 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
    220.196.160.61 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
    mk0114
        11
    mk0114  
    OP
       2022-09-06 15:58:19 +08:00
    @mk0114 卧槽,没注意。。。。
    eason1874
        12
    eason1874  
       2022-09-06 15:59:23 +08:00
    服务器监控组件上报
    链路上报 SNI (云厂商、或运营商)
    浏览器和安全软件上报(所有流行浏览器都有恶意网址检测,edge 、chrome 也有)

    腾讯云检测 SNI 可能性比较大吧
    python35
        13
    python35  
       2022-09-06 16:02:09 +08:00
    我觉得是腾讯家的备案检测系统,,,,尝试用相同的 Host 去访问下 响应 200 的话 就封掉端口
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2559 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 04:57 · PVG 12:57 · LAX 20:57 · JFK 23:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.