原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号
通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下
- 114.100.82.7 ,尝试登录时间为:6.22 00:08 分操作
- 111.127.50.125 ,尝试登录时间为:6.23 17:35 分操作
whois 信息如下
- 114.100.82.7
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '114.96.0.0 - 114.103.255.255'
% Abuse contact for '114.96.0.0 - 114.103.255.255' is '[email protected]'
inetnum: 114.96.0.0 - 114.103.255.255
netname: CHINANET-AH
descr: CHINANET Anhui PROVINCE NETWORK
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: JW89-AP
tech-c: JW89-AP
abuse-c: AC1573-AP
status: ALLOCATED PORTABLE
remarks: service provider
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-AH
mnt-routes: MAINT-CHINANET-AH
mnt-irt: IRT-CHINANET-CN
last-modified: 2021-06-15T08:06:13Z
source: APNIC
irt: IRT-CHINANET-CN
address: No.31 ,jingrong street,beijing
address: 100032
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
auth: # Filtered
remarks: [email protected] was validated on 2024-04-15
mnt-by: MAINT-CHINANET
last-modified: 2024-04-15T01:54:23Z
source: APNIC
role: ABUSE CHINANETCN
address: No.31 ,jingrong street,beijing
address: 100032
country: ZZ
phone: +000000000
e-mail: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
nic-hdl: AC1573-AP
remarks: Generated from irt object IRT-CHINANET-CN
remarks: [email protected] was validated on 2024-04-15
abuse-mailbox: [email protected]
mnt-by: APNIC-ABUSE
last-modified: 2024-04-15T01:55:05Z
source: APNIC
person: Jinneng Wang
address: 17/F, Postal Building No.120 Changjiang
address: Middle Road, Hefei, Anhui, China
country: CN
phone: +86-551-2659073
fax-no: +86-551-2659287
e-mail: [email protected]
nic-hdl: JW89-AP
mnt-by: MAINT-CHINANET-AH
last-modified: 2014-02-21T01:19:43Z
source: APNIC
% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
- 111.127.50.125
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '111.126.0.0 - 111.127.255.255'
% Abuse contact for '111.126.0.0 - 111.127.255.255' is '[email protected]'
inetnum: 111.126.0.0 - 111.127.255.255
netname: CHINANET-NM
descr: CHINANET NeiMengGu province network
descr: Data Communication Division
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CH93-AP
abuse-c: AC1573-AP
status: ALLOCATED PORTABLE
remarks: service provider
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
notify: [email protected]
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-NM
mnt-routes: MAINT-CHINANET-NM
mnt-irt: IRT-CHINANET-CN
last-modified: 2021-06-15T08:05:56Z
source: APNIC
irt: IRT-CHINANET-CN
address: No.31 ,jingrong street,beijing
address: 100032
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
auth: # Filtered
remarks: [email protected] was validated on 2024-04-15
mnt-by: MAINT-CHINANET
last-modified: 2024-04-15T01:54:23Z
source: APNIC
role: ABUSE CHINANETCN
address: No.31 ,jingrong street,beijing
address: 100032
country: ZZ
phone: +000000000
e-mail: [email protected]
admin-c: CH93-AP
tech-c: CH93-AP
nic-hdl: AC1573-AP
remarks: Generated from irt object IRT-CHINANET-CN
remarks: [email protected] was validated on 2024-04-15
abuse-mailbox: [email protected]
mnt-by: APNIC-ABUSE
last-modified: 2024-04-15T01:55:05Z
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
mnt-by: MAINT-CHINANET
last-modified: 2022-02-28T06:53:44Z
source: APNIC
% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
- 114.100.82.7: 中国安徽省合肥市瑶海区北二环路,瑶海区香江国际佳元(北二环路南) // 安徽省合肥市瑶海区方庙街道北二环路 144 号香江国际佳元
- 111.127.50.125: 中国内蒙古自治区呼和浩特市赛罕区蒙中医院巷,赛罕区民望家园 1 区(蒙中医院巷北) // 内蒙古自治区呼和浩特市赛罕区昭乌达路街道民望巷民望家园一区
ASN 均为: AS4134
微步:
腾讯威胁平台:
- https://tix.qq.com/search/single?keyword=114.100.82.7&
- https://tix.qq.com/search/single?keyword=111.127.50.125&
查询总结:
- 114.100.82.7 ,有恶意样本,没有绑定域名
- 111.127.50.125 ,有恶意样本,绑定域名(均为 2023-2022 年):hypercachenet.com(微步),supercachenet.com(微步),qc.dolfincdnx.net(腾讯威胁中心反查),jdcloudstatus.net(腾讯威胁中心反查),cachenode.cn(腾讯威胁中心反查),szbdyd.com(腾讯威胁中心反查) (疑似 CDN ?)
111.127.50.125 对应 ICP:
- hypercachenet.com:北京抖音信息服务有限公司
- supercachenet.com:北京微播视界科技有限公司
- dolfincdnx.net:贵州白山云科技股份有限公司
- jdcloudstatus.net:北京京东叁佰陆拾度电子商务有限公司
- cachenode.cn:长沙市摩根网络科技有限公司
- szbdyd.com:江西节点技术服务有限公司
两者 IP 只开了 53 TCP + 1041 TCP
疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破
139 条回复 • 2024-06-27 11:10:08 +08:00
 |
101
JingHG 6 天前
看了一下我的账号,确实被扫了,还好我都是独立密码。
|
 |
102
chanChristin 6 天前
https://img.03-a.org/file/111e07ee685f6f46e9521.png
我的 3 位 live 邮箱一直在被扫,都没停过。 |
 |
103
liofoil 6 天前
看了下我的账号也在被扫,至少一个月前就开始了
|
 |
104
huangxiao123 OP @hqt1021 #97 工具什么的其实好写,但是突然集中在近期,行迹未免太可疑,感觉是有组织的
|
 |
105
nznd 6 天前
我为了测试微软用户账户专门注册的一个 hotmail ,脸滚键盘方式输密码到 txt 再复制粘贴的,这两天在疯狂弹二步验证
|
 |
106
yqchilde 6 天前
hotmail 扫号挺频繁的,tg 上很多卖的数据集,扫扫绑定过啥业务
|
 |
107
hqt1021 6 天前
@huangxiao123 一直在扫,只是暑假快到了号不够了又来了一批人扫,刚看了眼群还发了 3 个多 g 的 cn combo...
|
 |
108
hellsakura 6 天前
我今天早上凌晨 3 点弹了一个即时通知请求登录,但是我在活动历史里没找到这个登录请求,有人知道怎么查看 ios 的通知记录吗
|
 |
109
KKFantasy 6 天前
我的好像正常,6 月只有两条记录,都是我自己登录的。不过我 outllook 也没怎么用,注册账户都用的 gmail
|
 |
110
leimu012 6 天前
我的月初提醒异地登录,然后改了密码,我看是异地的记录是登录成功
|
 |
111
yuhaofe 6 天前
自从 edge 里 300 多条密码泄露之后基本是 7*24 小时在被扫,已经习惯了😊
|
 |
112
greeny1025 6 天前
 我的 Hotmail 被尝试登录大半年了,7*24 未间断,每次 IP 还都不一样。不过安全验证全开了基本不会被攻破。 |
 |
113
Dk2014 6 天前  1
我原来添加的几个单词 live 邮箱一直在被爆破,没有停过,不止登陆 还会尝试同步邮件
前几天把这几个邮箱登陆全关掉了,只使用我的域名邮箱,然后就消停了  |
 |
114
AlynxZhou 6 天前
很多年前注册了一个 `@msn.com` 的邮箱当主力微软帐户,刚才看了一下登录记录发现我的也有,不过全都密码验证失败了。
立即添加了两步验证应用。 |
 |
115
huntley 6 天前
我也遇到了。
|
 |
116
hendry 6 天前 via Android
我的天,看到这篇帖子才想起来,早在 5 月 25 日至 6 月上旬,我的微软 Authenticator 就弹出了很多次的登录请求并提示异常活动,我当时还以为是我的 IP 变动触发微软安全机制导致的,今天进去看 IP 有来自南京、镇江、三亚以及日本、欧美的。我刚好有 2 个地区的 outlook 邮箱,目前是注册国外地址的遭到了攻击,地区选择中国的相安无事。
|
 |
117
essethon 6 天前
@Dk2014 #113 不错的思路,我也尝试一下。把域名邮箱设置成 primary alias 然后把所有 outlook.com/hotmail.com 等等结尾的 alias 的 sign-in 权限都取消掉。
|
 |
118
404www 6 天前
@huangxiao123 邮箱怎么改啊,我有一个/几个账号一直被扫发认证码。。烦死了
|
|
119
hendry 6 天前 via Android
38.207.136.2 美国 异常活动 6 月 15 日异常活动
117.92.238.99 江苏连云港 6 月 12 日 5:22 密码错误 106.111.246.183 江苏镇江 6 月 3 日 5:55 密码错误 60.169.94.79 安徽芜湖 5 月 31 日 13:27 密码错误 119.41.193.40 海南三亚 5 月 31 日 13:25 密码错误 185.220.238.154 日本 5 月 25 日 1:49 7:09 异常活动 |
|
120
essethon 6 天前
@404www #118 添加一个 alias (不一定是新创建,可以/最好是自己已有的非 Microsoft email 地址比如域名邮箱或者 Gmail 等都可以) https://support.microsoft.com/en-us/office/add-or-remove-an-email-alias-in-outlook-com-459b1989-356d-40fa-a689-8f285b13f1f2
然后在 https://account.live.com/names/Manage 把添加的 alias 设置成 primary alias 最后在下面的 Sign-in preferences 里把除了 primary alias 之外的所有登录名全部取消勾选。 这么做的话,你的 Microsoft account 就只能用刚添加的那个(非微软邮箱后缀的) alias 登录了,如果用原有的 [email protected] / [email protected] 尝试登录的话会提示账号不存在。 |
|
121
huangxiao123 OP @leimu012 #110 你这个比较危险了
|
|
122
huangxiao123 OP @hendry #119 感谢补充 IP
|
|
123
huangxiao123 OP @404www #118 楼下有专业的兄弟回复了你,我也不太懂这个
|
 |
124
yjxjn 6 天前
|
 |
125
javeil 6 天前
微软账号强制 mfa 了吧 要是拿到密码撞库撞上了也没啥意义。。
|
 |
126
xiafengjieying 5 天前 via iPhone
@fairytale 我也是
|
 |
127
oldboy627 5 天前
@greeny1025 英国那个自动同步,是不是说明登录成功了
|
 |
129
ShareDuck 5 天前
Hotmail 好像从来就没停过。https://imgur.com/GVm0LEg
|
 |
130
bigshawn 5 天前
outlook 最近一直都有克罗地亚、德国、乌克兰的,还全是 IPv6 。
|
 |
131
Andrue 5 天前
最近半年有些游戏论坛也在讨论这个情况,说明攻击者的爆破行动早就开始了
|
 |
132
journalist 5 天前
去年有段时间经常有美国 IP 尝试密码登录,后来我开启了无密码,也遇到过几次弹验证器。最近倒是没有。
|
|
133
Andrue 5 天前
两个账号检查了下这四个月平均每天二十次登录尝试,怕了怕了
还是开无密码吧 |
 |
134
guguxia 5 天前
开了无密码登录,没弹过验证器
|
 |
135
yazoox 5 天前
为什么只有 Microsoft 的邮箱碰到了这个问题,其它的比如 gmail 有这个现象么?
|
 |
136
suchasplus 5 天前
我的 MS Authenticator 也弹了,当场点了拒绝。
然后 gmail 收到个邮件,说我的 EA 因为安全问题被禁用了,需要改密码 |
 |
137
l4ever 5 天前
和楼主一样, 我也收到了登录二次认证提示.
|
|
139
huangxiao123 OP 截止目前 6.27 ,没收到二次认证提醒了
|
Select Language