大佬帮忙分析下，发卡网站被入侵，改成了他的收款，如何查到这个人

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 378 天前的主题，其中的信息可能已经有所发展或是发生改变。

我的发卡网站被入侵，发卡网站没有在大陆备案，服务器是绿云日本，用的宝塔，安装的独角数卡 v2.0.24。

发卡网站挂了我自己应用的激活码和帮朋友挂的 ChatGPT 激活码的自动发卡。

发卡网站有邮件通知（用户收到订单通知）和 TG 订单通知（出单通知）。

这个人应该是破解了我的密码，（怪我大意了，没有改用户名，也用了弱密码），将自己的易支付加到后台，将我的收款都取消了。

并且这个人删掉了我的所有订单，改了邮件通知，也改了我的后台登录密码。我登录服务器重置密码后才可以正常访问。

已经有一单损失了（几十块钱）。~~可能由于系统 bug~~，导致这一单的用户没有正常的激活码，最终反馈到我朋友，我才发现系统被入侵。不是系统 bug ，应该是支付成功回调失败导致的。

我登录服务器后，先将所有商品下架，然后导出未激活的激活码，发给朋友让其销毁。

其次，查到这个人的易支付一些信息：

商户 KEY:  http://pay.ydwlw6.cn/submit.php
商户密钥: yW7YZLO1z4Y7r1911L9yPl9yMt77Z9yq

通过这个 ydwlw6.cn 没有查到更多的信息。

我不清楚是易支付平台商户给这个人开的支付，还是这个人自己搭建的，看这个域名，很有可能是他自己搞的。

ps. 应该不是发卡平台漏洞，看了官方群几百条消息，并没有响应的反馈。

第 1 条附言 · 2023-11-30 16:56:35 +08:00

忽略 8 楼吧。应该不是宝塔问题，宝塔随机端口+强密码，除了漏洞应该没法入侵。时间点也对不上，11 月 25 号是我最后一次收到订单，也就是说 11 月 25 号之后做的案。

发卡

激活码

密码

通知

41 条回复 • 2023-12-01 15:52:01 +08:00

FaiChou

2023-11-30 16:11:54 +08:00

我尝试给他付款，跳转到支付宝显示：

kanepan19

2023-11-30 16:12:10 +08:00

板凳，瓜子已准备

nealHuang

2023-11-30 16:14:50 +08:00

板凳，可乐已准备

FaiChou

2023-11-30 16:18:41 +08:00

怎么确认是宝塔 0day ？还是网站后台密码破解？

caomingjun

2023-11-30 16:21:46 +08:00

.cn 没有隐私保护，whois 可以查到注册人信息。但是不清楚这个域名是不是他的。为了避免法律风险我就不发 whois 结果了，OP 自己查询一下。

caomingjun

2023-11-30 16:24:52 +08:00

不太清楚易支付的商户 KEY 是怎么样的，是任意字符串还是要验证域名所有权？如果不能确定这个域名是不是攻击者的，建议 OP 冷静一下再做下一步动作。

gregy

2023-11-30 16:28:20 +08:00

马扎，蹲个后续。

FaiChou

2023-11-30 16:30:04 +08:00

宝塔被入侵了，应该不是个惯犯，日志都没有删掉：

宝塔免费版 7.9.7

zt5b79527

2023-11-30 16:32:30 +08:00

。。蹲一个后续

gregy

2023-11-30 16:34:09 +08:00

根据我的经验，这种事一般和平台没有关系。这类第四方的收单平台注册比较简单也没有啥认证域名审核也形同虚设。
不过 OP 发的这个结算界面我没见过，YY 直播的充值界面？我接触的都是那种所谓的免签约的码支付，直接付款到个人账号，隔壁论讨很多这种支付。
这种 YY 支付是咋个玩法？充钱到直播平台，然后打赏给主播再把钱弄出来？这样得损失多少啊。

FaiChou

2023-11-30 16:43:42 +08:00

@gregy #10 不管损失多少，只要抓不到那个人，对那个人来说就是个好方法。

FaiChou

2023-11-30 16:45:22 +08:00

懂宝塔的讲一下，我宝塔是随机端口，而且登录名和密码都不是简单的，没有暴露过，是怎么破解的？漏洞吗？

skwyl

2023-11-30 16:46:55 +08:00

报警吧，用 YY 直播来洗钱在之前就有了，基本上很难抓到，相当于给某个主播买礼物啥的

skwyl

2023-11-30 16:47:48 +08:00

@FaiChou 排查一下访问日志，看一下是不是系统内部的漏洞

SilentOrFight

2023-11-30 16:48:48 +08:00

@gregy #10 给 YY 付钱打赏的路子就是跟 douyu 这个一样吧？

0x49

2023-11-30 16:51:17 +08:00

dcat-admin 框架可上传 php 马儿,,,

InDom

2023-11-30 16:51:36 +08:00

洗钱的套路而已。

FaiChou

2023-11-30 16:53:28 +08:00

@skwyl #14 运维小白。。不知道怎么排查

x86

2023-11-30 16:54:07 +08:00

@FaiChou #4
0day 就不会拿你开刀倒腾这几十块了

skwyl

2023-11-30 16:55:50 +08:00

@FaiChou 看到你上面截图他们都能进入宝塔了，那估计是宝塔的问题了，看一下宝塔的日志康康访问得 url 有没有什么不对劲得地方

dearmymy

2023-11-30 16:58:50 +08:00

应该不至于 bt 得 0day 把。是不是发卡网站得漏洞

NGGTI

2023-11-30 17:05:51 +08:00

@FaiChou
检查一下 bt 日志，网站日志吧。
宝塔密码那加密方式，就是被拿 shell 了也难破解出。
你看看你电脑是不是被钓鱼了，我感觉这个途径大点。

FaiChou

2023-11-30 17:06:50 +08:00

@dearmymy 嗯就是弱密码被暴力破解了。

NGGTI

2023-11-30 17:10:49 +08:00

@FaiChou 看看发卡网站是不是和 bt 相同密码，规律等。

FaiChou

2023-11-30 17:41:22 +08:00

@NGGTI #24 没有，其余的都是正常的，动态入口+非 admin 用户，这个发卡我当时没有太注意，潦草搭建完

rainABC

2023-11-30 17:44:23 +08:00

当前网站城名
ydwlw6.cn
网站 IP
119.29.241.67
法定代表人
梁航
注册资金
权重信息数据来源:爱站网
中国广东省广州市腾讯
云数据中心
百度权重
未收录
移动权重
未收录
360 权重
未收录
神马权重
未收录
谷歌权重
搜狗权重
未收录
备案信息数据来源: 站长工具
备案号
湘 ICP 备 2023017109 号
性质
个人
公司
梁航
审核时间
2023-07-19

gregy

2023-11-30 17:51:38 +08:00 via iPhone

@FaiChou

我觉得 OP 还是别查了，发现及时损失不大，查到了你也不能把对方怎么样，几十块钱报警警察都懒得搭理你。你又无法反黑回去，如果为了报复再被坑一把那损失就更大了。
重装服务器做好防护恢复业务，搞钱要紧。

分享一下我的经验，仅供参考。

网站防护第一要务是隐藏服务器的真实 IP ，前面一定要套 CDN ，免费的 CF 就很好用。除了服务器以外还要准备一个跳板机，跳板机上部署梯子。
主站服务器配置防火墙，只允许 CDN 的 IP 访问 443 端口，跳板机的 IP 访问所有端口，拒绝其他所有 IP 。
跳板机的梯子可以日常用，也能用来访问主站服务的管理页面。
如果网站有外发邮件的功能，一定要用代理发邮件避免暴露主站服务器的 IP 。
只要你的网站有收入就会有人眼馋就会想搞你，主站服务器 IP 一定藏好了。
如果想加强网站的防护可以研究下 waf ModSecurity 很难用但是很强大。

FaiChou

2023-11-30 17:51:57 +08:00

@rainABC 就是不确定是不是这个人。。金额也不大，主要是把我订单都删了，很麻烦去核对订单。

FaiChou

2023-11-30 17:55:45 +08:00

@gregy #27 嗯，确实不值当去调查下去。调查的最主要的是哪一块薄弱，这么看来是我的密码问题。可以做指定 ip 才能访问我的后台，随机端口入口，调整用户名不要使用默认用户名做后台登录，密码也要上高强度密码。再强一点就是你说的套 cdn 等。

moefishtang

2023-11-30 19:52:02 +08:00

套个 waf 吧，雷池之类的。另外，服务器有安全组之类的功能的话，可以只开放你发卡网站的端口，宝塔管理面板和 ssh 之类的你给自己的 IP 加白名单，或者你用 zerotier 之类的工具组虚拟内网，然后用内网 IP 登录

fzls

2023-11-30 20:49:54 +08:00

先把宝塔卸载掉吧- -感觉是从你的宝塔入手的

xption

2023-11-30 20:51:12 +08:00

@gregy 你好，这一块我是小白，请教两个问题：
1 、免费的 CF 具体是指哪家呢？
2 、套 CDN 是为了隐藏 ip 吗？ CDN 是只能放静态资源吧，前后端交互的请求会暴露服务器 ip ？

woshinide300yuan

2023-11-30 20:55:55 +08:00

除 80 和 443 以外的所有端口（除了真的需要对外开放，性质和 443 80 一样），我都限制仅限个人 IP 访问。
宝塔密码很随缘，端口都进不去，其余无所谓了。

bestcondition

2023-11-30 21:02:43 +08:00

@xption cf 是 cloudflare ，https://www.cloudflare.com/ ，不是套 cdn ，是加个反向代理，目的就是隐藏 ip ，保护你的 web 服务器不受攻击

gregy

2023-11-30 21:55:00 +08:00

@xption
34 楼正解
CDN 确实是只能缓存静态文件，动态文件还是要到源站上处理才能返回给终端。CF 对于大陆以外的地区是有很好的加速效果的，但是对于大陆地区用 CF 反而是负向优化，如果主要面向大陆用户还是要斟酌一下是否 CF 。现在 V 站用的就是 CF ，openai 用的也是 CF ，有很多网站在用 CF 。要是不差钱买 CF 的 pro 套餐，pro 套餐的 WAF 功能很强大。免费版的也够用了，只要源站 IP 不暴露，根本不怕 DDOS ，被人 CC 也可以在 CF 上打开验证功能。例如登录 V 站的时候那个检查页面就是 CF 的人机验证功能。曾经被人 D 的一天搬家好几次，在 CF 后面藏好以后。面对 DDOS 和 CC 微微一笑毫无压力。

gregy

2023-11-30 22:06:25 +08:00

OP 研究研究你的发卡站源码吧，之前我买过一个付费授权的发卡源码。源码是加密的，但是有有漏洞被人刷过单。用安全狗自定义 waf 规则能拦截。后来我换了开源的 zfaka ，不过现在看 zfaka 已经在 github 上删库了。不知道为啥最近 github 各种删库。