通信人家园

标题: 不法分子入侵广东省教育厅短信平台 [查看完整版帖子] [打印本页]

时间: 2024-10-12 10:57

作者: 哆嗦4# 标题: 不法分子入侵广东省教育厅短信平台

来源：https://mp.weixin.qq.com/s/5Fd1br3k2sgsnrmtMvYW7Q

声明

近日，发现有不法分子入侵我厅短信平台，以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。我厅已第一时间向公安机关报案，并配合开展调查。请广大师生和家长提高警惕，切勿点击短信中的非法链接，避免个人信息泄露或遭受财产损失。
特此声明。

广东省教育厅

2024年10月12日

时间: 2024-10-12 11:06

作者: wu67

这不是再次验证了, 短信验证码这个一验证渠道真特么不安全....

时间: 2024-10-12 11:28

作者: 土豆不是豆

这么重要的平台被入侵了？
好奇是怎么入侵的，实人认证还是短信验证，或者其他渠道验证
黑客总不至于撞库吧

时间: 2024-10-12 20:36

作者: 安紫尘

我的防火墙呢

时间: 2024-10-12 21:11

作者: BlueSkyXN

事件发生时间 2024年10月12日早上

广东省教育厅已发布说明，在早上9点51分 https://edu.gd.gov.cn/jyzxnew/gdjyxw/content/post_4506708.html

调查域名 x.lx2.com （统一在 8:47 发送）和 dgczzz.xyz（统一在 8:52 发送）

调查 x.lx2.com ，发现不支持HTTPS，支持国内外访问，使用80 HTTP
解析IP为

47.96.5.29
116.62.22.168
121.43.189.129
116.62.114.203
47.96.145.148
47.97.113.167

看上去都是杭州阿里云

HTTP记录如下

HTTP/1.1 307 Temporary Redirect
Content-Type: text/html; charset=utf-8
Location: http://co1.ds.51daba.com.cn/H4gDxifog7
Date: Sat, 12 Oct 2024 03:02:50 GMT
Content-Length: 0

HTTP/1.1 302 Found
Cache-Control: no-store, no-cache, must-revalidate
Content-Type: text/html; charset=UTF-8
Date: Sat, 12 Oct 2024 03:02:52 GMT
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Location: http://dl2-1.ds.51daba.com.cn/#/regtoken?ttname=MTU4LS0yNy4xNDguMTQyLjE2OC0tMTcyODcwMjE3Mg==&rand=1728702172
Pragma: no-cache
Server: nginx
Set-Cookie: PHPSESSID=tfuceq5vdebh2fvtkgf719sc69; path=/
X-Cache: BYPASS
Content-Length: 0

HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Length: 525
Content-Type: text/html
Date: Sat, 12 Oct 2024 03:02:53 GMT
Etag: "66fe6aa5-20d"
Last-Modified: Thu, 03 Oct 2024 09:57:57 GMT
Server: nginx

进一步调查发现目前功能已不可用，无法取证。

调查 dgczzz.xyz，发现支持国内外访问，使用80 HTTP、443 HTTPS
解析IP为

118.99.37.161
118.99.37.159
118.99.37.158
118.99.37.169
118.99.37.170
118.99.37.156
106.74.25.198

其中188这个是 Forewin Telecom Group Limited, ISP at HK ，看上去IP是香港

HTTP响应记录为

HTTP/1.1 200
Date: Sat, 12 Oct 2024 03:07:22 GMT
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Server: cdn
X-Cache-Status: HIT
Content-Encoding: gzip

点进去发现看上去是一个标题为兔兔直播的违法网站

甚至还是用了阿里的加速 https://pinchasrc.oss-accelerate.aliyuncs.com

从2个域名的效果来看，不怎么像一个团伙

时间: 2024-10-12 21:52

作者: coffee198375

安全措施不到位。。。。

时间: 2024-10-12 21:53

作者: 3gpp-r12

台湾水军吧？

时间: 2024-10-14 23:02

作者: 電信大魔王

附件: Image_1728918170510.jpg (2024-10-14 23:02, 37.64 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjU1NzI2fDhlOWNjZGE1fDE3MzIzMzU5OTd8MHww

时间: 2024-10-15 09:25

作者: abcd360

一切责任尽在对方
我方将保留追溯的权利

时间: 2024-10-15 16:51

作者: Hoobee

上个星期有人在说

通信人家园 (https://www.txrjy.com/)