我的发卡网站被入侵,发卡网站没有在大陆备案,服务器是绿云日本,用的宝塔,安装的独角数卡 v2.0.24。
发卡网站挂了我自己应用的激活码和帮朋友挂的 ChatGPT 激活码的自动发卡。
发卡网站有邮件通知(用户收到订单通知)和 TG 订单通知(出单通知)。
这个人应该是破解了我的密码,(怪我大意了,没有改用户名,也用了弱密码),将自己的易支付加到后台,将我的收款都取消了。
并且这个人删掉了我的所有订单,改了邮件通知,也改了我的后台登录密码。我登录服务器重置密码后才可以正常访问。
已经有一单损失了(几十块钱)。可能由于系统 bug,导致这一单的用户没有正常的激活码,最终反馈到我朋友,我才发现系统被入侵。不是系统 bug ,应该是支付成功回调失败导致的。
我登录服务器后,先将所有商品下架,然后导出未激活的激活码,发给朋友让其销毁。
其次,查到这个人的易支付一些信息:
商户 KEY: http://pay.ydwlw6.cn/submit.php
商户密钥: yW7YZLO1z4Y7r1911L9yPl9yMt77Z9yq
我不清楚是易支付平台商户给这个人开的支付,还是这个人自己搭建的,看这个域名,很有可能是他自己搞的。
ps. 应该不是发卡平台漏洞,看了官方群几百条消息,并没有响应的反馈。
1
FaiChou OP |
2
kanepan19 363 天前
板凳, 瓜子已准备
|
3
nealHuang 363 天前
板凳,可乐已准备
|
4
FaiChou OP 怎么确认是宝塔 0day ?还是网站后台密码破解?
|
5
caomingjun 363 天前
.cn 没有隐私保护,whois 可以查到注册人信息。但是不清楚这个域名是不是他的。为了避免法律风险我就不发 whois 结果了,OP 自己查询一下。
|
6
caomingjun 363 天前
不太清楚易支付的商户 KEY 是怎么样的,是任意字符串还是要验证域名所有权?如果不能确定这个域名是不是攻击者的,建议 OP 冷静一下再做下一步动作。
|
7
gregy 363 天前
马扎,蹲个后续。
|
8
FaiChou OP |
9
zt5b79527 363 天前
。。蹲一个后续
|
10
gregy 363 天前
根据我的经验,这种事一般和平台没有关系。这类第四方的收单平台注册比较简单也没有啥认证域名审核也形同虚设。
不过 OP 发的这个结算界面我没见过,YY 直播的充值界面?我接触的都是那种所谓的免签约的码支付,直接付款到个人账号,隔壁论讨很多这种支付。 这种 YY 支付是咋个玩法?充钱到直播平台,然后打赏给主播再把钱弄出来?这样得损失多少啊。 |
12
FaiChou OP 懂宝塔的讲一下,我宝塔是随机端口,而且登录名和密码都不是简单的,没有暴露过,是怎么破解的?漏洞吗?
|
13
skwyl 363 天前
报警吧,用 YY 直播来洗钱在之前就有了,基本上很难抓到,相当于给某个主播买礼物啥的
|
15
SilentOrFight 363 天前
@gregy #10 给 YY 付钱打赏的路子就是跟 douyu 这个一样吧?
|
16
0x49 363 天前
dcat-admin 框架可上传 php 马儿,,,
|
17
InDom 363 天前
洗钱的套路而已。
|
21
dearmymy 363 天前
应该不至于 bt 得 0day 把。是不是发卡网站得漏洞
|
26
rainABC 363 天前
当前网站城名
ydwlw6.cn 网站 IP 119.29.241.67 法定代表人 梁航 注册资金 权重信息数据来源:爱站网 中国广东省广州市 腾讯 云数据中心 百度权重 未收录 移动权重 未收录 360 权重 未收录 神马权重 未收录 谷歌权重 搜狗权重 未收录 备案信息数据来源: 站长工具 备案号 湘 ICP 备 2023017109 号 性质 个人 公司 梁航 审核时间 2023-07-19 |
27
gregy 363 天前 via iPhone
@FaiChou
我觉得 OP 还是别查了,发现及时损失不大,查到了你也不能把对方怎么样,几十块钱报警警察都懒得搭理你。你又无法反黑回去,如果为了报复再被坑一把那损失就更大了。 重装服务器做好防护恢复业务,搞钱要紧。 分享一下我的经验,仅供参考。 网站防护第一要务是隐藏服务器的真实 IP ,前面一定要套 CDN ,免费的 CF 就很好用。除了服务器以外还要准备一个跳板机,跳板机上部署梯子。 主站服务器配置防火墙,只允许 CDN 的 IP 访问 443 端口,跳板机的 IP 访问所有端口,拒绝其他所有 IP 。 跳板机的梯子可以日常用,也能用来访问主站服务的管理页面。 如果网站有外发邮件的功能,一定要用代理发邮件避免暴露主站服务器的 IP 。 只要你的网站有收入就会有人眼馋就会想搞你,主站服务器 IP 一定藏好了。 如果想加强网站的防护可以研究下 waf ModSecurity 很难用但是很强大。 |
29
FaiChou OP @gregy #27 嗯,确实不值当去调查下去。调查的最主要的是哪一块薄弱,这么看来是我的密码问题。可以做指定 ip 才能访问我的后台,随机端口入口,调整用户名不要使用默认用户名做后台登录,密码也要上高强度密码。再强一点就是你说的套 cdn 等。
|
30
moefishtang 363 天前
套个 waf 吧,雷池之类的。另外,服务器有安全组之类的功能的话,可以只开放你发卡网站的端口,宝塔管理面板和 ssh 之类的你给自己的 IP 加白名单,或者你用 zerotier 之类的工具组虚拟内网,然后用内网 IP 登录
|
31
fzls 363 天前
先把宝塔卸载掉吧- -感觉是从你的宝塔入手的
|
32
xption 363 天前
|
33
woshinide300yuan 363 天前
除 80 和 443 以外的所有端口(除了真的需要对外开放,性质和 443 80 一样),我都限制仅限个人 IP 访问。
宝塔密码很随缘,端口都进不去,其余无所谓了。 |
34
bestcondition 363 天前 1
@xption cf 是 cloudflare ,https://www.cloudflare.com/ ,不是套 cdn ,是加个反向代理,目的就是隐藏 ip ,保护你的 web 服务器不受攻击
|
35
gregy 363 天前 1
@xption
34 楼正解 CDN 确实是只能缓存静态文件,动态文件还是要到源站上处理才能返回给终端。CF 对于大陆以外的地区是有很好的加速效果的,但是对于大陆地区用 CF 反而是负向优化,如果主要面向大陆用户还是要斟酌一下是否 CF 。现在 V 站用的就是 CF ,openai 用的也是 CF ,有很多网站在用 CF 。要是不差钱买 CF 的 pro 套餐,pro 套餐的 WAF 功能很强大。免费版的也够用了,只要源站 IP 不暴露,根本不怕 DDOS ,被人 CC 也可以在 CF 上打开验证功能。例如登录 V 站的时候那个检查页面就是 CF 的人机验证功能。曾经被人 D 的一天搬家好几次,在 CF 后面藏好以后。面对 DDOS 和 CC 微微一笑毫无压力。 |
36
gregy 363 天前
OP 研究研究你的发卡站源码吧,之前我买过一个付费授权的发卡源码。源码是加密的,但是有有漏洞被人刷过单。用安全狗自定义 waf 规则能拦截。后来我换了开源的 zfaka ,不过现在看 zfaka 已经在 github 上删库了。不知道为啥最近 github 各种删库。
|
37
ante988 363 天前
蹲个结果
|
38
sanebow 363 天前 via iPhone
宝塔漏洞可能性不大,反而很多发卡系统都有漏洞,有些甚至是故意留了后门
|
39
julyclyde 362 天前
直接报警抓人吧
|
40
43n5Z6GyW39943pj 362 天前 4
@julyclyde 猜猜谁先进去
|
41
xption 362 天前
|