原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号
通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下
whois 信息如下
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '114.96.0.0 - 114.103.255.255'
% Abuse contact for '114.96.0.0 - 114.103.255.255' is '[email protected]'
inetnum: 114.96.0.0 - 114.103.255.255
netname: CHINANET-AH
descr: CHINANET Anhui PROVINCE NETWORK
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: JW89-AP
tech-c: JW89-AP
abuse-c: AC1573-AP
status: ALLOCATED PORTABLE
remarks: service provider
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-AH
mnt-routes: MAINT-CHINANET-AH
mnt-irt: IRT-CHINANET-CN
last-modified: 2021-06-15T08:06:13Z
source: APNIC
irt: IRT-CHINANET-CN
address: No.31 ,jingrong street,beijing
address: 100032
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
auth: # Filtered
remarks: [email protected] was validated on 2024-04-15
mnt-by: MAINT-CHINANET
last-modified: 2024-04-15T01:54:23Z
source: APNIC
role: ABUSE CHINANETCN
address: No.31 ,jingrong street,beijing
address: 100032
country: ZZ
phone: +000000000
e-mail: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
nic-hdl: AC1573-AP
remarks: Generated from irt object IRT-CHINANET-CN
remarks: [email protected] was validated on 2024-04-15
abuse-mailbox: [email protected]
mnt-by: APNIC-ABUSE
last-modified: 2024-04-15T01:55:05Z
source: APNIC
person: Jinneng Wang
address: 17/F, Postal Building No.120 Changjiang
address: Middle Road, Hefei, Anhui, China
country: CN
phone: +86-551-2659073
fax-no: +86-551-2659287
e-mail: [email protected]
nic-hdl: JW89-AP
mnt-by: MAINT-CHINANET-AH
last-modified: 2014-02-21T01:19:43Z
source: APNIC
% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '111.126.0.0 - 111.127.255.255'
% Abuse contact for '111.126.0.0 - 111.127.255.255' is '[email protected]'
inetnum: 111.126.0.0 - 111.127.255.255
netname: CHINANET-NM
descr: CHINANET NeiMengGu province network
descr: Data Communication Division
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CH93-AP
abuse-c: AC1573-AP
status: ALLOCATED PORTABLE
remarks: service provider
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
notify: [email protected]
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-NM
mnt-routes: MAINT-CHINANET-NM
mnt-irt: IRT-CHINANET-CN
last-modified: 2021-06-15T08:05:56Z
source: APNIC
irt: IRT-CHINANET-CN
address: No.31 ,jingrong street,beijing
address: 100032
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
auth: # Filtered
remarks: [email protected] was validated on 2024-04-15
mnt-by: MAINT-CHINANET
last-modified: 2024-04-15T01:54:23Z
source: APNIC
role: ABUSE CHINANETCN
address: No.31 ,jingrong street,beijing
address: 100032
country: ZZ
phone: +000000000
e-mail: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
nic-hdl: AC1573-AP
remarks: Generated from irt object IRT-CHINANET-CN
remarks: [email protected] was validated on 2024-04-15
abuse-mailbox: [email protected]
mnt-by: APNIC-ABUSE
last-modified: 2024-04-15T01:55:05Z
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
mnt-by: MAINT-CHINANET
last-modified: 2022-02-28T06:53:44Z
source: APNIC
% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
ASN 均为: AS4134
微步:
腾讯威胁平台:
查询总结:
111.127.50.125 对应 ICP:
两者 IP 只开了 53 TCP + 1041 TCP
疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破
1
fairytale 151 天前 via Android
好像很多人弹了,昨天的事
|
2
fairytale 151 天前 via Android
hotmail 被批量爆破太正常了,但是弹验证器这一步,第一次见。
|
3
huangxiao123 OP @fairytale 是,疑似是扫哥在 brEachFoRum 买的数据库
|
4
huangxiao123 OP @fairytale 我是运气好,之前微软弹出用 authenticator 的提醒,我弄了,后面我开了个无痕访问,发现只要用了 authenticator ,登录时候都直接弹点击 passcode 认证登录,而非输入密码
|
5
BH1SMB 151 天前
我也有遇到,早晨起来看到有个奇怪的请求,但是我那天夜里睡得早,没有操作过
6/18/2024 7:41 PM Unsuccessful sign-inBrazil Device/platform iOS Browser/app Safari IP address 189.4.73.146 Account alias [email protected] Session activity Incorrect password entered Map is not available for activity on mobile devices Look unfamiliar? Secure your account 查询为 inetnum: 189.4.0.0/14 aut-num: AS28573 abuse-c: GRSVI owner: Claro NXT Telecomunicacoes Ltda ownerid: 66.970.229/0001-67 responsible: Suporte Redes country: BR owner-c: GRSVI tech-c: GRSVI inetrev: 189.4.64.0/18 nserver: ns7.virtua.com.br nsstat: 20240623 AA nslastaa: 20240623 nserver: ns8.virtua.com.br [lame - not published] nsstat: 20240623 TIMEOUT nslastaa: 20230430 created: 20060906 changed: 20220615 |
6
BH1SMB 151 天前
6/20/2024 12:38 PMUnsuccessful sign-inUkraine
Device/platform iOS Browser/app Safari IP address 212.68.172.63 另一个请求,这是哪里数据库泄漏了吗 |
7
huangxiao123 OP @BH1SMB 不知道,但是应该是从 brEachFoRum 买的数据,或者是有人打了微软拿到的数据库,个人猜测感觉像国内红队干的事,想着境外有 CIA ,FBI ,于是用国内 IP 打国外,别人就算查到了也无可奈何
|
8
lcy630409 151 天前
.....刚中午的时候 走在路上 突然弹了 我直接点否了
回来就看这... 意思是密码泄露了?改密码有用么? |
9
huangxiao123 OP @lcy630409 现在也是不知道到底是什么手段,如果是泄露,改密码有用,但是如果是打的微软,那肯定没用,你改了密码,攻击者又去同步一次,现在有效手段就是遇到非本人操作的行为,点击拒绝
|
10
huangxiao123 OP @huangxiao123 不单止改密码,估计邮箱也要改改,不然会一直弹认证
|
11
yyzh 151 天前 via Android
|
12
huangxiao123 OP |
13
shinsekai 151 天前
看了下记录攻击了很多次,都是输入的密码不正确。另外还有 IMAP 同步失败的
|
14
huangxiao123 OP @huangxiao123 看 go 内存得知,应该是跑了一个爆破服务,其用户名叫 daan 跑了一个名为 krakenAIO-server 的程序
其中 "kraken" 读音类似 "kracken" = "cracken",网络安全用于一般是指爆破,"AIO" 应该是指异步、多线程,"server"指服务端,并且看到有 redis ,怀疑是用 agent 组合的方式进行爆破,并且回传爆破成功的信息进入 redis |
15
huangxiao123 OP @huangxiao123 纠正,是名为 daan 用户写的
|
16
uuhhme 151 天前 via Android
我看了一下我的,我的是 live 域名,但是对外都是 msn ,3 号 4 号 6 号 7 号被大规模尝试错误密码登录,ip 都是德美印法。我的密码挺简单但是开了 2fa 。
|
17
huangxiao123 OP @uuhhme 这就很难判断攻击者了,也许是印度哥 LOL
|
18
huangxiao123 OP 更新,刚刚又有一个 IP 试图登录
182.204.228.232 |
19
165924 151 天前
@huangxiao123 AIO 不是 all in one 吗(乱猜的
|
20
qlee1122 151 天前
|
21
huangxiao123 OP @165924 不知道 LOL ,也有可能
|
22
huangxiao123 OP |
23
Yadomin 151 天前
虽然没有登录成功,但是不是密码确实泄露了,被 2FA 拦住了,有点害怕😰
Protocol: IMAP IP: 116.22.0.37 Account alias: [email protected] Time: 6/21/2024 3:12 PM Approximate location: China Type: Unsuccessful sync |
24
bluetree2039 151 天前
我看了我的 msn 账户,
从 5 月 21 号开始,就全球好多国家登录失败。 密码错误 这是最早的记录: 设备/平台 Windows 浏览器/应用 Internet Explorer IP 地址 194.32.120.86 |
25
bluetree2039 151 天前
@shinsekai 我和你一样
|
26
ST0RMTR00PER 151 天前
我也收到了,以为自己帐号泄露了,但是我是无密码帐号。
|
27
huangxiao123 OP 我寻思攻击者是不是找到从微软账户后台下发命令到使用微软账户主机的方法?为什么日期都集中在最近?
|
28
Andim 151 天前
|
29
Nasei 151 天前
不是密码泄漏,因为登录失败原因是密码错误,我这从 5 月份或者更早就有了(因为登录记录只有最近一个月),我也没有绑验证器之类的东西
|
30
huangxiao123 OP 现在可以确定的是,攻击者有一份准确的账户列表,但其数据来源未知,也不知道是否包含密码,用大量的 IP 去爆破,可能是僵尸网络
|
31
xiaozecn 151 天前
|
33
huangxiao123 OP |
34
huangxiao123 OP @xiaozecn #31 感谢补充信息,但是本人是自从昨天才开始收到这样的信息
|
35
huangxiao123 OP @huangxiao123 #33 估计是,打 EXP ,然后用 agent 端控制,下发爆破任务
|
36
haodingzan 151 天前
看了一下,我有一个 6 月 3 日,180.127.241.59 的登录失败记录,密码错误。使用的登录别名一直以来都是专用于邮箱客户端的。
|
37
bobryjosin 151 天前
我这好像没有国内的登陆请求,有几个厄瓜多秘鲁巴西的请求,也是 n 年前的别名了,不过我已经开无密码账户,登陆也是优先用 yubikey 登陆,炸就炸吧😂
|
38
ztjal 151 天前
巨硬就不会自动封一下这些重试次数超多的 IP 吗
|
39
huangxiao123 OP @ztjal #38 这就是为什么会有大量 IP 去爆破
|
40
SayHelloHi 151 天前
前几天 发现账号登录 微软验证 App 弹出了验证消息
|
41
SayHelloHi 151 天前
|
42
PbCopy111 151 天前
你们都用 hotmail 注册国外的网站了吧,比如 X 之类的
|
43
huangxiao123 OP @PbCopy111 #42 我没有,hotmail 是独立的
|
44
dididi9527 151 天前
微软账户这种情况有很多年了,刚看了下我那个在很多地方注册账号时留的主邮箱,这个账号有开 Authenticator ,依然每天有好几次尝试登录,都是密码不正确,全球各地都有包括中国。另外一个很少地方用到的小号,没开 Authenticator 的,却没什么尝试登录。我估计就是其它网站的泄露,然后我的密码都是密码管理器生成的,不会跟那些网站用同一个密码,所以怎么尝试都是密码不正确
|
45
Pangdouya 151 天前
遇到了类似的情况,还好两步验证提醒了我。
|
46
hazy 151 天前
3 位 live 邮箱表示很多年了一直都有,每小时都有几条来自全世界尝试登录失败的记录,也碰到过几次微软 Authenticator 弹二验的情况,拒绝并改密码就好了。去年换用 bitwarden 复杂随机密码 + 非微软 TOTP 后到现在还没弹过。
|
47
life90 151 天前
这下突然发现不是一个人了。看我的 https://v2ex.com/t/1023947
|
48
wyf88 151 天前 via iPhone
不说不知道,看了下我的才发现也是从 6 月份开始每天都有登录失败记录。
特别的是,其中一个 alias 是我后面才申请的,印象中只用来注册了两个网站,GitHub 和 Twitter 。从被攻击的群体和动机上,感觉 Twitter 更有可能一些… 你们的邮箱也是用来注册 Twitter 的吗? |
49
uiiytwyfsdtr 151 天前
twitter 的安全是做得特别差的
太多漏洞了 大家在这个平台上面一定要小心 |
50
patrickyoung 151 天前 via Android
楼主有没有第三方的匿名联系方式,搞一个临时的发一下,我可以给你提供进一步的东西
|
51
huangxiao123 OP @uiiytwyfsdtr #49 我感觉是微软数据库被人打了,不然不可能有那么精准的邮箱列表
|
52
nothingistrue 151 天前
Microsoft Authenticator (手机应用)对于微软账号来说是免密登陆器,不是 2FA 。对方只要输入邮箱地址,选择用 Authenticator 登录,你的 Authenticator 就会弹登录。你要没注意点了同意,对方就登录上你的账号了。
对方要是买了 Hotmail 邮箱地址,然后脚本逐个去尝试使用 Authenticator 登录的话,真有几率骗几个登录。实际影响应该不大,因为 Authenticator 和邮件都会有异地登录提示,后续改密码等敏感操作,还会再要求登录。但防不胜防,还是高危漏洞,微软要处理的。 |
53
huangxiao123 OP @nothingistrue #52 是的,有些马大哈的用户,刚好点中那个 code ,就 G 了
|
54
huangxiao123 OP |
55
huangxiao123 OP @uiiytwyfsdtr #49 感谢提醒
|
56
huangxiao123 OP @life90 #47 感谢补充
|
57
doyel 151 天前
@bluetree2039 我从年头开始每天固定几次,全球各地 IP 都是尝试密码失败,账户无密码全靠 2FA ,就怕在线 2FA 给端了。。。一点防御手段都没有吗?
|
58
patrickyoung 151 天前 via Android
@huangxiao123 已发送
|
59
huangxiao123 OP @patrickyoung #58 感谢补充,已回信
|
60
IV16SL 150 天前
我的账户没有遇到这个问题,前几个月,我把账号区域从香港改到了美国,删除了手机号和密码,改用 Passkey 登录(因此也必须添加微软自己的 Authenticator 兜底)
|
61
LancerComet 150 天前
Hotmail 这个已经持续相当长一段时间了,两三年前已经开始了,用 Authenticator 或 Passkey
|
62
David5151 150 天前
刚刚半夜弹,点了拒绝,开了无密码应该不要紧吧
|
63
dpc 150 天前 1
@huangxiao123 同感,我的很多 alias 从来没有在任何地方使用过,但是依然看到了登陆尝试。
|
64
houzhishi 150 天前
黑产,不至于是红队
|
65
bluetree2039 150 天前 via iPhone
@doyel 应该没办法
|
66
Rrrrrr 150 天前
自认是没怎么用这个邮箱,登录上去看也很多尝试登录的
|
67
terryl 150 天前
黑产,最近半年一直有碰到这个问题!
|
68
Webpoplayer 150 天前
也是刚看了下,从 5 月下旬开始,一直有登录失败的记录..`津巴布韦` `克罗地亚` `葡萄牙` `德国` `荷兰`都是这几个地方,有 imap 同步失败的,有登录失败的
|
69
clandyuki 150 天前
我遇到的是 5 月份微软账户的邮箱收到封关于替换账户安全信息的通知,就是安全邮箱被替换为 [email protected] 这样的一个地址,还好微软拦截了而且我看到了邮件,不然三十天后就会替换成功,到时候可能账户就找不回来了。然后查看了登录活动,也是一堆国内其他地方的登录,这种情况是密码泄露了吗?微软的话应该不会明文泄露吧。
看到这个帖子又去瞄了眼登录活动,最近有一个,但是密码没输对登录失败。 |
70
jhytxy 150 天前
昨天也弹登录了
|
71
microka 150 天前
只有 hotmail 遇到吗?我的 outlook 看了下没发现异常登录活动。
|
72
hafuhafu 150 天前
这个月收到过两次微软一次性代码的邮件,一次是昨天,而且都是同一个我很久很久没用而且印象中没有完全对外公开过的账号( hotmail ),很迷惑。
|
73
davin 150 天前
outlook 表示无异样
|
74
xujinkai 150 天前 via Android
我今天早上弹了 outlook 邮箱
IP 地址 120.84.127.185 |
75
BlueSkyXN 150 天前
![微软验证器]( https://pic4.58cdn.com.cn/nowater/webim/big/n_v2e2824154edca49938f815f7e37c3eef1.jpg)
![微软]( https://pic6.58cdn.com.cn/nowater/webim/big/n_v2075aa7dfde2a407eaee3fe44820ebabc.jpg) 我是 vip.qq.com ,22 号中午 贵阳市 , 中国 117.189.90.59 China Mobile Communications Group Co., Ltd. |
77
xunandotme 150 天前
计算机图标 10 小时前登录失败俄罗斯
手持设备图标 2024/6/22 15:26 登录失败巴西 手持设备图标 2024/6/22 15:14 登录失败巴西 计算机图标 2024/6/22 12:55 登录失败越南 计算机图标 2024/6/22 11:20 登录失败美国 计算机图标 2024/6/22 8:11 登录失败意大利 计算机图标 2024/6/21 22:37 登录失败加拿大 计算机图标 2024/6/21 18:58 登录失败巴西 计算机图标 2024/6/21 18:07 登录失败美国 计算机图标 2024/6/21 16:59 登录失败巴西 手持设备图标 2024/6/21 15:39 登录失败墨西哥 计算机图标 2024/6/21 14:12 登录失败巴西 自动同步设备图标 2024/6/21 10:20 自动同步 德国 计算机图标 2024/6/20 22:07 登录失败巴西 计算机图标 2024/6/20 20:46 登录失败美国 计算机图标 2024/6/20 20:08 登录失败巴西 计算机图标 2024/6/20 19:28 登录失败越南 计算机图标 2024/6/20 18:07 登录失败巴西 手持设备图标 2024/6/20 16:01 登录失败美国 手持设备图标 2024/6/20 15:27 登录失败韩国 计算机图标 2024/6/20 11:13 登录失败文莱 计算机图标 2024/6/20 9:47 登录失败巴基斯坦 计算机图标 2024/6/20 3:45 登录失败德国 计算机图标 2024/6/19 23:40 登录失败伊朗 计算机图标 2024/6/19 2:52 登录失败俄罗斯 计算机图标 2024/6/18 22:15 登录失败巴西 手持设备图标 2024/6/18 7:41 登录失败德国 计算机图标 2024/6/18 0:48 登录失败俄罗斯 计算机图标 2024/6/18 0:20 登录失败美国 手持设备图标 2024/6/17 12:20 登录失败英国 手持设备图标 2024/6/16 20:21 登录失败美国 计算机图标 2024/6/16 3:36 登录失败美国 未知设备图标 2024/6/14 14:45 登录失败亚美尼亚 未知设备图标 2024/6/14 11:14 登录失败乌克兰 计算机图标 2024/6/14 10:31 登录失败德国 未知设备图标 2024/6/14 10:09 登录失败俄罗斯 计算机图标 2024/6/13 18:19 登录失败俄罗斯 |
79
Claire9518 150 天前
我这遇到的情况也类似,但是没那么频繁。不过登录别名是我的手机号和另外一个邮箱账号密码
|
80
hqt1021 150 天前 via Android 1
日常其他库密码泄露扫 combo 而已 绑卡了就买 xgp 开挂去了 遇到有价值的游戏就给你挂改了
你查到的都是代理 IP ,一个 IP 登录多了,他全 FAIL 了。这种代理 IP 也不贵,200 左右一个月,每秒 20 个 |
81
iv2ex 150 天前
|
82
iv2ex 150 天前
[图片]( https://imgur.com/BoFpFpl)
|
83
zzzlight 150 天前
好像看记录暂时没发现这个
|
84
hqt1021 150 天前 via Android
这里展示一张扫号软件的图片
[img]https://p1.meituan.net/csc/c7e53d3d518eb3020b8c026684d007f4123698.jpg[/img] 每秒扫描两万号。。 |
85
iv2ex 150 天前
|
86
winglight2016 150 天前
的确,我前两天也收到个弹窗,我还纳闷怎么回事儿。然后打开 lz 提供的活动记录页面,发现昨天从早到晚都在尝试登录然后失败,看来 2FA 还是很有意义啊。
|
87
huangxiao123 OP 补充一段,前面老哥 PM 我提到的:
是临近护网,由 G*V 聘用国内**信组织的提前护网漏扫的操作(不通知 GA 一所),会对泄露的账户进行扫号操作 |
88
huangxiao123 OP @hqt1021 #84 前面有疑似是爆破软件的内存分析,看上去是分布式爆破,golang 写的,CS 端的
|
89
huangxiao123 OP @lifei6671 #76 Get it!
|
90
huangxiao123 OP @houzhishi #64 有可能,黑产哥“无所不能”
|
91
yxc 150 天前
|
92
huangxiao123 OP @huangxiao123 #87 该信息仅供参考
|
93
SunsetShimmer 150 天前
6/12 左右有来自阿根廷和巴西的对 Outlook 绑定 Gmail 的尝试,密码错误。
|
94
curiohuang 150 天前
最近遇到不止一次了,今天睡醒还看到一个登录请求
|
95
huangxiao123 OP 百密并无一疏,目前还不知道是谁发起的攻击,只知道大概的手段
通过 web 漏洞打进别人的服务器,服务器种 agent ,通过 agent 下发爆破任务回传至 server 端 希望 v 友在发现恶意登录 IP 的同时,把恶意 IP 也发出来,供大家参考或者进行下一步操作 |
96
fu82581983 150 天前
最近半年时不时收到二次验证的邮件,看了一下登录记录,几乎每周都会尝试,而且发现都是别名登录的,印象中 outlook 的别名邮箱极少使用
|
97
hqt1021 150 天前 via Android
@huangxiao123 并不是分布式,而是很多人在扫。。。
我手上就有俩付费的扫微软工具。。 |
98
zjuster 150 天前
时间可能更久一点。而且我是 outlook 邮箱。
大概半年前就跳过一次,昨天确实也跳了,登录显示国内。里面还有好几次密码错误的。 我每个邮箱和账号的密码都是独立的,不太理解是怎么试出密码的??难道微软被拖库... |
99
zjuster 150 天前
IP address
118.117.188.245 IP address 123.180.171.87 这两个是密码错误 IP address 175.162.214.174 这个是直接触发 2FA ,被我拒绝。 看了下更多历史,6 月 5 、6 、7 、8 有多次不成功登录。都是国内 IP ,Windows Chrome (但我所有设备都是苹果平台) 我的 Outlook 只用于求职工作和微软系登录,别无他用...微软是不是被内部阿三搞泄库了 |
100
yuewenjie 150 天前
刚才 Authenticator 弹了好几次,我把密码改了
|