我运行了 netstat 命令,发现了一些我不知道的 amazon tcp 连接
zagent1644.h-cdn.com
142.44.212.29
zagent1642.h-cdn.com
145.239.8.193
zagent859.h-cdn.com
217.182.138.56
zagent1678.h-cdn.com
54.37.85.231
它们会不会像 API 那样,将 RAT 的命令发送到我电脑里的间谍软件?你对它们有什么了解吗?
答案1
这一切都毫无意义。让我们从头开始。
h-cdn.com 是谁?
$ whois h-cdn.com
Domain Name: H-CDN.COM
Registry Domain ID: 1941013588_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2017-05-11T05:47:51Z
Creation Date: 2015-06-22T13:21:45Z
Registry Expiry Date: 2019-06-22T13:21:45Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS-1336.AWSDNS-39.ORG
Name Server: NS-1696.AWSDNS-20.CO.UK
Name Server: NS-421.AWSDNS-52.COM
Name Server: NS-608.AWSDNS-12.NET
看起来这个域名是由亚马逊域名服务器提供的,但没有迹象表明亚马逊是注册者。GoDaddy 是注册商这一事实令人怀疑;他们不询问客户身份,而且对滥用投诉的回应非常糟糕,因此在欺诈者和恶意软件作者中很受欢迎。
列出的所有四个 IP 都分配给了 OVH,与亚马逊类似,但不同之处在于,除了为僵尸网络、爬虫/抓取器、广告网络和其他可疑活动提供基础设施外,他们现在似乎没有任何合法业务。所以这也是原因之一。
我还发现 h-cdn 有大量 TCP 流量通过h-cdn.com端口 443 发往子域,而这些子域的目标 IP 都分配给了 Leaseweb,这是另一个诚信和美德的互联网典范。
我们的防火墙一看到这些流量就会拦截,所以我没有任何指标。亚马逊与此无关,这里涉及的其他基础设施都没有干净的历史,但没有证据表明我们正在研究恶意软件或 RAT;考虑到我看到这些事件周围有类似流量的背景,我猜我们正在处理一个使用 websockets 保持连接打开的广告网络(以监视/“对用户进行行为分析”),这就是为什么你在 netstat 中看到它的原因。