今天在查看百度统计时,偶然发现两个奇怪的域名访问记录,这两个域名不是我当前网站的域名,即
www.sunzhongwei.com
而是两个垃圾域名:
- jqnbaz.club
- www.jqnbaz.club
但是,打开之后,可以看到,内容完全一致,实时同步。除了图片没有之外,因为我使用了七牛云的 CDN,设置了图片防盗链。
禁止这两个域名的访问
为了确定对方的镜像机制,我访问了一下对方的页面,同时 tail 查看我服务器上的 Nginx 日志。
13.125.220.1 - - [16/Jan/2021:10:46:48 +0800] "GET /using-thunderbolt-download-android-studio-canary-build HTTP/1.1" 200 11418 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" "3.61"
13.125.220.1 - - [16/Jan/2021:10:47:19 +0800] "GET /solve-the-millet-mobile-phone-on-google-play-cant-download-application HTTP/1.1" 200 14276 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" "4.05"
可以看到对方是伪装成了百度爬虫的 User Agent,通过转发实现的网站镜像。
于是,我直接在阿里云安全组上封禁了 13.125.220.1 这个 IP 的访问。
再次访问这两个恶意域名。显示超时。
13.125.220.1 这个 IP 是韩国首尔亚马逊云数据中心的服务器。但肯定是个中国人,否则怎么会用百度爬虫来伪装。
对方的无耻之处
其使用了 Cloudflare 的 Always Online 功能。所以,即便我封了这个 IP,但是 Cloudflare 还是可以自动显示其最后一次成功的镜像。
This page (http://jqnbaz.club/) is currently offline. However, because the site uses Cloudflare's Always Online™ technology you can continue to surf a snapshot of the site.
dig 域名记录:
jqnbaz.club. 3600 IN NS naomi.ns.cloudflare.com.
jqnbaz.club. 3600 IN NS skip.ns.cloudflare.com.
jqnbaz.club. 300 IN A 104.21.84.44
jqnbaz.club. 300 IN A 172.67.186.61
规避方法
- 定期检查网站的访问域名列表,百度统计后台有这个功能
- 网站页面中,部分常用链接还是加上域名前缀比较好
后续
时隔 3 年之后,再次遇到 我的个人博客网站再次被恶意镜像,这次手段高明了许多
微信关注我哦 👍
我是来自山东烟台的一名开发者,有感兴趣的话题,或者软件开发需求,欢迎加微信 zhongwei 聊聊, 查看更多联系方式