广东省教育厅短信事件分析：大量企业域名遭滥用

文章预览

近日，广东省教育厅官网发布一则声明，其短信平台被入侵，对外发送非法链接短信。我们对这一事件进行了初步跟进分析。 1 基础信息分析 根据网友反应的信息，所发布的链接为x.lx2.com（当前已经无法访问）。我公司大狗产品于2024-10-12 05:32:38捕获该链接并对样本进行截图。截图内容于上述短信所传播的非法内容相吻合。 根据图中信息，可以得出，当我们打开h**p://x.lx2.com时，实际上发生了多次跳转行为： h**p://x.lx2.com --> h**p://dl2-1.ds.51daba.com.cn --> cname --> g6cd0f4.cdn.rongyimv.com --> 116.62.22.168 目标使用了cdn，实际也可能解析至其它IP，例如： h**p://x.lx2.com --> h**p://dl2-1.ds.51daba.com.cn --> cname --> g6cd0f4.cdn.hongrenz.cn --> 121.40.175.129 问题：lx2.com，51daba.com.cn，rongyimv.com，hongrenz.cn这类域名存在备案，依然用于非法内容传播，是被入侵了吗？ 这些备案域名用于传播非 ………………………………