Saturday, August 03, 2019

連登 lihkg.com 硏究與分析 (更新版本)

連登 lihkg.com 硏究與分析
(更新版本)

連登討論區近月在網上組織及散播反中國香港政府及國家的暴亂行動及訊息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我嘗試盡我綿力去研究和分析一下。

連登網站受 Cloudflare 保護,網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。

其伺服器的供應商是 Digital Ocean,一共有兩個伺服器,其中一個是位於印度 (Bangalore, India),而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。而另一個是位於新加坡 (Singapore),而網絡地址為 206.189.86.198。可以從 http://206.189.86.198 前往證實。但印度的伺服器是主要的伺服器,另一個相信是用來作跳轉或負載平衡用途。

連登擁有多個副域名 (Subdomain),她們是 amp.lihkg.com,may-web-31.lihkg.com,www.lihkg.com 和 x.lihkg.com。除此之外,還有 lih.kg 網址。

其網頁伺服器 (Web Server) 是 Nginx,其中一個版本不詳,另一個版本為 1.12.2。她是安裝在 Linux 系統中,但其 Linux 版本也不詳。

主伺服器共有 22,80,111,3000 及 9000 五個端口 (Port) 開放。副伺服器共有 22,80,443,111及 8080 五個端口開放。

22 端口的服務為 OpenSSH 7.4,可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。但這兩個漏洞對入侵方面,並沒有起很大的作用。

至於 443 端口在主伺服器是由 Cloudflare 提供,並可從 80 及 9000 端口跳轉。

3000 端口是一個入口,是用 React.js 編寫,從標題中估計是用來管理廣告的,而 9000 端口為 Express node.js 框架 (Framework),是網站的編程主要語言。所以,連登是由 JavaScript 編寫的。

其 3000 端口,似乎對網頁請求方面的阻斷服務攻擊免疫。9000 端口是被 Cloudflare 保護的,所以任何形式的阻斷服務攻擊都未能湊效,除非攻擊流量極之大。

而 80,443 及 9000 端口有 Cloudflare 的網頁防火牆保護。

至於副伺服器的 80,443 和 8080 端口是用來跳轉到主伺服器的。

如果在 443 端口進行網頁漏洞攻擊,難度比較高,因為有 Cloudflare 的網頁防火牆保護。況且,暫時仍未有發現在網頁上存有漏洞。

相信管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。

如果要進一步檢視連登,是需要注册成為用戶,方可繼續進行。可是,該站需要網絡供應商、大學或大專院校的認證電郵地址方能注册成為會員。

最後,如果警方或政府可以攔截或堵塞其域名和副域名,甚至網絡地址的話,相信其黨羽並不能在短期內取得有關行動的訊息,從而減低其組織性和破壞性。

其他相關資料 :

谷歌廣告戶口是 :
Google AdSense ca-pub-3240616428100660

根據谷歌的廣告戶口,可以經谷歌追查該戶口的持有人及其銀行帳戶資料。

谷歌網站流量分析戶口是 :
Google Analytics UA-87624244-4

搜尋器指引
https://lihkg.com/robots.txt

用戶前台入口
https://lihkg.com/auth/login
https://lihkg.com/login

Samiux
OSCE OSCP OSWP
二零一九年八月三日,中國香港


最新消息 (二零一九年八月五日,中國香港)

意想不到地,連登的主持人也看我的博客。他們立即更改其虛擬私人伺服器 (VPS),認真是懦夫!我以為他們是天不怕地不怕的?!失望中!

若果大家暫時未能找到她們的網絡地址的話,不要灰心,因為其收入來源是經谷歌廣告,其谷歌廣告戶口可以追查得到其持有人。

再者,網絡地址對網站入侵作用並不大。所以將網站網絡地址隱藏,並沒有多大的意思。

其網站所使用的加密證書 (SSL Certificate) 是由 Cloudflare 提供的。伺服器並沒有自己的加密證書,所以我們會很容易繞過 Cloudflare 的防火牆。若果其網站有自己的加密證書,繞過 Cloudflare 的防火牆也亦不困難。

至於防火牆,Cloudflare 是使用改良版本的 modsecurity。其實,modsecurity 不是那麼完美的。


最新消息 (二零一九年八月六日,中國香港)

經過連日來的觀察所得,連登是一個一連串暴力和破壞事件的指揮及聯絡中心,他們會在連登上頒佈指令,提供現場實況給暴徒參考,及在資源上的調配。

他們會在連登裏公佈 Telegram「用完即棄」的谷 (Group) 方便計對特定的行動上的聯絡和指揮。但是,不是所以暴徒都知道有這個安排。他們建議所有暴徒在 Telegram 谷內隱藏電話號碼和其資料,所以有甚麼人參與那些谷,他們是不清楚的。

暴徒組織嚴謹,有攻擊小隊、偵察小隊、物資供應小隊、集會大隊等,當中也不乏戲子呢!

所以,連登創辦人「望遠」 (Profile ID 3) 等,提供平台給暴徒進行暴力襲擊事件,而不加以阻止,他們在這一連串暴力和破壞事件中是責無旁貸的。


最新消息 (二零一九年八月十一日,中國香港)

連登的論壇現在是寄存在亞馬遜雲端,而且具有電郵伺服器的功能,其主域名部份資料為 :

s1._domainkey.lihkg.com - s1.domainkey.u4005023.wl024.sendgrid.net

s2._domainkey.lihkg.com - s2.domainkey.u4005023.wl024.sendgrid.net

mandrill._domainkey.lihkg.com - "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrLHiExVd55zd/IQ/J/mRwSRMAocV/hMB3jXwaHH36d9NaVynQFYV8NaWi69c1veUtRzGt7yAioXqLj7Z4TeEUoOLgrKsn8YnckGs9i3B3tVFB+Ch/4mPhXWiNfNdynHWBcPcbJ8kjEQ2U8y78dHZj1YeRXXVvWob2OaKynO8/lQIDAQAB;"

mx._domainkey.lihkg.com - "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYjURk53r/mHevsulTXdxLHAguJ/I/Z+N3YwSpLutuMrNFSIpRPNUTDe1JE+ihMaa+2hY9g+b2LMDSGfO04n8FxAreJXD8RS/SxWBBL+xcIXKsgrd2PbR8S4DdNZNeHCD9OntyTbgPpNNOEuJp+0xPJ+1VfVjpDXxFzTDgdRcQiwIDAQAB"

_acme-challenge.lihkg.com - "ZHEbpsejbIDZINtxutN-VUEGe_VHUx4i5NB32ZWx6eo"

_amazonses.lihkg.com - "E4EPJITK7/pdJy4edQ6oXLZ+0R7GLVp3NG9zauUs/Qw="

lihkg.com - "google-site-verification=q9ZG1rQjq0RIDQhhszFdVuKsS01VSsDukzxpkxr0Xe4"

lihkg.com - "v=spf1 include:mailgun.org include:spf.mandrillapp.com ~all"


最新消息 (二零一九年八月廿二日,中國香港)

連豋在亞馬遜雲端的地址為 http://lihkg-demo.s3.amazonaws.com/index.html,而它是寄存在日本東京 http://lihkg-demo.s3-ap-northeast-1.amazonaws.com/index.html。相信其在 Digital Ocean 的伺服器仍然存在,只是有防火牆之類保護,不能以網絡地址存取。


最新消息 (二零一九年八月三十一日,中國香港)

今早連登聲稱被阻斷服務攻擊,其後聲稱已經採取緊急措施,所以其供手機軟體的伺服器回復正常,但網頁版不受影響,因為其網頁版是受 Cloudflare 的保護。其實它的所謂緊急措施是攔截了所有香港以外的網絡地址存取手機軟體版伺服器罷了。

參考網址 : https://lihkg.com/thread/1520611/page/1

1758 時更新

連豋現在 Cloudflare 設定為 Under Attack,它會檢查瀏覽者是否用真實的瀏覽器。所以它仍然可以以瀏覽器存取。

1812 時更新

現在相信只有 Cloudflare 的網絡地址方可用瀏覽器瀏覽。

參考網址 : https://www.cloudflare.com/ips/

1916 時更新

手機軟體伺服器現在只接受香港的網絡地址。網頁版現在取消了檢查瀏覽器方案。


最新消息 (二零一九年九月一日,中國香港)

現在連登網頁版需要輸入 reCAPTCHA 方可瀏覽,而手機軟體版本沒有此要求。再者,相信手機軟體版本伺服器只接受 Cloudflare 的網絡地址,其他的網絡地址不能存取。

可是,現在的連登已經不能同日而語了。


最新消息 (二零一九年九月五日,中國香港)

連登亦有兩個遊戲伺服器運行 Left 4 Dead 2 遊戲 2.1.5.5 版本,其開放端口為 UDP 27016,作業系統是視窗,其網絡服務供應商為香港寬頻,網絡地址分別為 123.202.166.243 及 210.6.189.36。而地圖分別為 c2m1_highway 及 c5m1_waterfront。

現在香港的執法人員是可以經香港寬頻追查得知連登的幕後主腦是誰了。