我們辦公原來使用的騰訊企業郵箱,但是後面發現騰訊郵件垃圾郵件比較多,而且又不能群發郵件的控制等高級功能,後來使用的是阿里郵箱,一直很穩定,很方便,但是這段時間垃圾郵件收到的比較多,經常收到如下這樣的垃圾郵件:
想這他們太囂張了,不理他們就算了,還天天發,今天就要抽出時間,扒一扒他到底是誰
廢話少說,捋起袖子開幹
點擊一下這個鏈接如下圖,可以看出是個廣告連接地址也沒什麼意義:
查看源碼能不能找到蛛絲馬跡,結果發現是從qq郵箱調用的
我們換一個思路,既然顯示是一個問號(一個圖像顯示不出來),我們下載調用圖片的代碼文件看看,看看能不能找到相關信息。
於是郵件問號圖片,選擇下載圖片
下載完成之後,是一個html文件
雙擊打開,發現頁面是空的,於是《右擊頁面》選擇--《顯示頁面源碼文件》,繼續深挖
找到罪魁禍首的QQ
終於在js的一段代碼中找到罪魁禍首的7個qq ,見下面兩個圖
於是繼續查找這個qq
於是打開網址看到他們是一個做各種培訓的網站,具體截圖就不往外放了,給對方臉吧
幹這些壞事的人 長啥樣
繼續深挖,看看到底是幹啥的,最簡單的方式,就是「遍歷」他們的qq空間
最起碼從2008年就開始做js開發和研究,已經關注黑客技術
而且這些qq大部分都已經廢棄,但是有一個qq在2017年還在用,而且令人驚喜的是:裡面有他本人青澀的照片,就不再放處清晰大照片了。
這麼帥的小夥技術不錯,乾點啥不好,幹這個
垃圾郵件受害人是誰
右擊郵件正文【查看原】文如下圖:
於是看到了郵件的整個轉發過程
通過郵件頭中的received from中的ip地址、然後查詢ip地址進行分析還原,可以分析處
Received: from lnsyzx.com(mailfrom:[email protected] ip:218.25.35.41)
by mx1.aliyun-inc.com(10.147.3.1);
Wed, 12 Sep 2018 10:02:29 +0800
Received: from [112.252.68.116]; Wed, 12 Sep 2018 10:02:10 +0800
Date: Wed, 12 Sep 2018 10:01:57 +0800
112.252.68.116 是山東省濱州市 聯通
218.25.35.41 是遼寧省瀋陽市 聯通
垃圾郵件發件人郵箱 [email protected] 是遼寧省實驗中學的郵箱
可以結合上面的信息,猜想處以下信息:
首先遼寧一所實驗中學發垃圾郵件是沒有作案動機的,很大可能是被上面黑產的小子或者通過其它渠道獲得帳號,然後被用來發垃圾郵件了。
是否是郵件服務器開啟了openrelay ,不需要認真呢,經過測試這所學校的郵件服務器是有認證的,截圖如下:
那就很明顯這郵箱帳號是被盜取之後,用來做黑產了,真是汗。。。。。
總結:被盜取的帳號,通過山東省濱州市 聯通的ip使用遼寧省瀋陽市 實驗中學的郵箱帳號 [email protected] 將垃圾郵件發送道我們的郵箱中,而且很有可能是使用qq群發郵件的功能api接口,利用腳本或者軟件調用這個接口進行群發的,目的已經達到了,再細的信息就不去挖掘了。
忠告
學黑客技術要有職業道德情操,切勿作惡,做壞事,別惹安全人。
閱讀更多 Web安全陪跑團 的文章