这种穷举 .env .git/config info. PHP 的怎么知道我从未公开的域名呢？

我又对比了下访问日志，从 18:08 开始穷举的，我在浏览器访问的时间是 18:14 ，而且只有一次，也就是说不是浏览器插件问题。

另外一次就是在家里的 NAS 上 curl ，因为我发现 vercel.app 用公司的网络走了新加坡，就想用家里的网络，希望看看直接的情况。

然后我对比了下 2 次 curl 的日志，10:08:42 我开始第一次 curl ，但是第一条穷举的 404 日志是 18:08:24 ，比我自己第一次用新域名还早，也就是说我绑定上自己的域名，我自己还没用呢，就被扫描了，难道是 Cloudflare 扫描的？

扫的呗，随便扫的，我想知道从哪里能看到这些具体的请求呢？

宽带运营商和搞黑产的合作，几十年了不都是这样的吗，少见多怪还发帖问

可能通过 Certificate Transparency log 泄漏

@fruitmonster vercel 自带的访问日志

@Chaidu 感觉不是，因为这个扫描的时间比我首次使用这个域名的时间还早，可能真的是楼上说的 Certificate Transparency log

@momocraft 还真有可能

@FrankAdler 查了下这个日志，最近的几个非泛解析域名都有记录，已老实，以后尽量用泛解析域名了

https://crt.sh/ 申请过证书的基本上都看的到

@ByLCY 是的，我查到了

想安全要用泛域名

@momocraft 涨姿势了，以前没关注过还有这个东西