一、事情的背景
前云盘项目组的老板给我在企微上发私信说,有一则阿里云风险通知,让我看看具体是什么情况。
这则风险通知是这样的
敏感信息已经打码,意思很明显,就是说阿里云资产上有托管恶意文件,需要 24 小时内进行整改和处理。
解释简单点,就好比你在阿里云上注册了一个域名,DNS 解析到了阿里云服务器上。机器上托管了若干文件,其中有一个是用户上传的恶意文件。
然后阿里云在某天给你发送了一则通知。
"你的资产下有一个非法文件 https://$域名/static/xxxx.apk 请尽快处理"
不明所以得人以为自己的文件在阿里云上,阿里云理所当然知道。
但是为什么阿里云能知道这条 URL 的完整细节? 这可是 https 。
卸下证书这一步是在 ECS 服务器的 Nginx 服务器里。
中间所有细节没人能捕获到,就算阿里云通过 DPI 深度包检测最多也只能捕获 HTTPS 的 SNI 。根本不存在连 URI 都能拿的那么详细。
但实际上我们的服务器还不是阿里云。
恰当的说是阿里云的域名解析到了国内 IDC 机房的服务器上。IDC 机房服务商没提醒我们,反而倒是阿里云提醒我们。
因此你品,你细品。
二、最有可能的几个原因
1. 爬虫收录导致
2022 年 我记录过一篇 Chrome 标记危险红名的文章。
大致意思是互联网上爬虫在收录站点时,会不停地爬取网页的 <a> 标签,但是爬虫是有道德底线的,不会收录非法资源,就像博彩、黄赌毒网站会标记危险字样一样。
因此有可能是爬虫在爬取到某站点上,发现站点 <a> 标签引用的这个下载资源非法,并且查询该下载资源的域名注册商是阿里云并通知其注册商下面的客户,你的资源带毒。
2. 网安接收到举报
部分网民会向网安投诉某下载链接,网安通过域名查询域名注册商(阿里云),再通过阿里云给他们的客户发送通知。
除上面两种情况,几乎已经很难能有其他可能了。
余忆童稚时,能张目对日,明察秋毫,见藐小之物必细察其纹理,故时有物外之趣
兰陵美酒郁金香
大道至简 Simplicity is the ultimate form of sophistication.
文章评论(0)