大佬帮忙分析下,发卡网站被入侵,改成了他的收款,如何查到这个人

359 天前
 FaiChou

我的发卡网站被入侵,发卡网站没有在大陆备案,服务器是绿云日本,用的宝塔,安装的独角数卡 v2.0.24

发卡网站挂了我自己应用的激活码和帮朋友挂的 ChatGPT 激活码的自动发卡。

发卡网站有邮件通知(用户收到订单通知)和 TG 订单通知(出单通知)。

这个人应该是破解了我的密码,(怪我大意了,没有改用户名,也用了弱密码),将自己的易支付加到后台,将我的收款都取消了。

并且这个人删掉了我的所有订单,改了邮件通知,也改了我的后台登录密码。我登录服务器重置密码后才可以正常访问。

已经有一单损失了(几十块钱)。可能由于系统 bug,导致这一单的用户没有正常的激活码,最终反馈到我朋友,我才发现系统被入侵。不是系统 bug ,应该是支付成功回调失败导致的。

我登录服务器后,先将所有商品下架,然后导出未激活的激活码,发给朋友让其销毁。

其次,查到这个人的易支付一些信息:

商户 KEY:  http://pay.ydwlw6.cn/submit.php
商户密钥: yW7YZLO1z4Y7r1911L9yPl9yMt77Z9yq

通过这个 ydwlw6.cn 没有查到 更多的信息。

我不清楚是易支付平台商户给这个人开的支付,还是这个人自己搭建的,看这个域名,很有可能是他自己搞的。

ps. 应该不是发卡平台漏洞,看了官方群几百条消息,并没有响应的反馈。

6684 次点击
所在节点    程序员
41 条回复
FaiChou
359 天前
我尝试给他付款,跳转到支付宝显示:

kanepan19
359 天前
板凳, 瓜子已准备
nealHuang
359 天前
板凳,可乐已准备
FaiChou
359 天前
怎么确认是宝塔 0day ?还是网站后台密码破解?
caomingjun
359 天前
.cn 没有隐私保护,whois 可以查到注册人信息。但是不清楚这个域名是不是他的。为了避免法律风险我就不发 whois 结果了,OP 自己查询一下。
caomingjun
359 天前
不太清楚易支付的商户 KEY 是怎么样的,是任意字符串还是要验证域名所有权?如果不能确定这个域名是不是攻击者的,建议 OP 冷静一下再做下一步动作。
gregy
359 天前
马扎,蹲个后续。
FaiChou
359 天前
宝塔被入侵了,应该不是个惯犯,日志都没有删掉:

宝塔 免费版 7.9.7

zt5b79527
359 天前
。。蹲一个后续
gregy
359 天前
根据我的经验,这种事一般和平台没有关系。这类第四方的收单平台注册比较简单也没有啥认证域名审核也形同虚设。
不过 OP 发的这个结算界面我没见过,YY 直播的充值界面?我接触的都是那种所谓的免签约的码支付,直接付款到个人账号,隔壁论讨很多这种支付。
这种 YY 支付是咋个玩法?充钱到直播平台,然后打赏给主播再把钱弄出来?这样得损失多少啊。
FaiChou
359 天前
@gregy #10 不管损失多少,只要抓不到那个人,对那个人来说就是个好方法。
FaiChou
359 天前
懂宝塔的讲一下,我宝塔是随机端口,而且登录名和密码都不是简单的,没有暴露过,是怎么破解的?漏洞吗?
skwyl
359 天前
报警吧,用 YY 直播来洗钱在之前就有了,基本上很难抓到,相当于给某个主播买礼物啥的
skwyl
359 天前
@FaiChou 排查一下访问日志,看一下是不是系统内部的漏洞
SilentOrFight
359 天前
@gregy #10 给 YY 付钱打赏的路子就是跟 douyu 这个一样吧?
0x49
359 天前
dcat-admin 框架可上传 php 马儿,,,
InDom
359 天前
洗钱的套路而已。
FaiChou
359 天前
@skwyl #14 运维小白。。不知道怎么排查
x86
359 天前
@FaiChou #4
0day 就不会拿你开刀倒腾这几十块了
skwyl
359 天前
@FaiChou 看到你上面截图他们都能进入宝塔了,那估计是宝塔的问题了,看一下宝塔的日志康康访问得 url 有没有什么不对劲得地方

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/996561

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX