在三月份,通过网络空间测绘发现了一个备案属于联通云数据有限公司的域名,该域名被挂上了违规页面。
我第一时间向联通云提交了工单报告,但是已经过去了一个月,违规页面仍然没有得到处理。
www.obs-fjxm.woyun.cn
通过ICP/IP地址/域名信息备案管理系统查询是联通云数据有限公司备案,目前是二级域名被挂上了违规页面,其他域名目前没有发现。
对该页面的JS代码进行分析后发现,其调用了阿里云对象存储业务的域名链接,浏览器页面运行JS后跳转到中国空气动力学会的备案域名,很明显这是一个利用文件上传漏洞进行引流。
http://361598436124775415824.cars.org.cn/upload/avatar/thumb_1707446569090.html
审查页面代码,仔细检查所有的JavaScript文件和HTML文件,特别注意任何与违规页面相关的代码段。
同时,查看服务器访问日志,追踪攻击者上传违规页面的来源和方式,以确定确切的上传点。
这个情况大部分是因为安全漏洞被恶意利用,一定做好服务器访问日志监控,及时发现异常流量。