二级域名为什么那么快就暴露了，有监听吗？

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 1364 days ago, the information mentioned may be changed or developed.

新开了一台国内腾讯轻量，惊奇的发现 80 和 443 端口没封。但也不敢直接用，就在阿里解析了一个泛二级域名到这台服务器。*.xxx.com 这样的。也就跑了个自己用的 gitlab ，nextcloud 这些。
ip 访问直接 444 。80 也是 444
443 域名不对 ssl 拒绝握手，理论上不存在证书域名泄露，就算泄露，证书也是泛域名证书。

然后离奇的来了。我随便 nginx 配置个 server_name 比如说 abc.xxx.com ，只要我用自己浏览器一访问。立马就有陌生 ip 来用这个 host 访问。
我还特意用本机 hosts 文件做了解析，他们也能立马知道。应该不是 DNS 泄露的。
二级域名也不是那种字典库里的，任何随机字符串他们都能监听到。
有些还会用"GET /api/exclude/siteConfig/register HTTP/1.1"来测试我的站点。"

他们是怎么知道我的二级域名的？

域名

二级

泄露

证书

13 replies

maguangyuan

Sep 6, 2022

天人感应

yfugibr

Sep 6, 2022

/t/195209

检查一下 ua ，大概率是搜索引擎的爬虫

yanqiyu

Sep 6, 2022

能想到的也就中间设备监听了 SNI ，你的电脑浏览器历史记录之类的被偷了

Foxkeh

Sep 6, 2022

浏览器泄露的?

kokutou

Sep 6, 2022 via Android

国产浏览器？
有杀毒软件？

mk0114

Sep 6, 2022

@yfugibr 不是爬虫，ua 都是乱七八糟的 "Dalvik/2.1.0 (Linux; U; Android 9.0; ZTE BA520 Build/MRA58K)""Mozilla/5.0 (Linux; U; Android 7.1.1; zh-cn; vivo X20A Build/NMF26X)

mk0114

Sep 6, 2022

@kokutou edge ，应该不是，因为我用流量手机访问也是会暴露。

Routeros

Sep 6, 2022

围观

mk0114

Sep 6, 2022

@yanqiyu 电脑端是 edge ，用手机流量 edge 也会暴露

mk0114

Sep 6, 2022

还有这种访问，这种用 IP 的我反倒能理解
180.101.245.251 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
220.196.160.95 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
180.101.245.247 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
59.83.208.108 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"
220.196.160.61 - - [06/Sep/2022:15:55:03 +0800] [] [43.143.70.107] "GET /scripts/WPnBr.dll HTTP/1.1" 444 0 "-" "curl/7.54.0"

mk0114

Sep 6, 2022

@mk0114 卧槽，没注意。。。。

eason1874

Sep 6, 2022

服务器监控组件上报
链路上报 SNI （云厂商、或运营商）
浏览器和安全软件上报（所有流行浏览器都有恶意网址检测，edge 、chrome 也有）

腾讯云检测 SNI 可能性比较大吧

python35

Sep 6, 2022