前言
昨晚九点,完成了一天的 HV 值守工作回家,澡都没冲就来码这篇文章。怕时间久了会忘记一些东西,导致故事线会串不上。
事情的起因是早上心血来潮,想着自己博客域名是不是要续费了,就尝试登录阿里云查看域名续费时间。谁曾想填写完账号密码就提示:“您的阿里云账号冻结”,如图所示。
按上面的电话联系客服,原以为会是一件小事情,没想到最终告知我账号要 9 月 23 号后才能解封,客服询问专员后传达的是因为“网络安全攻击”。具体原因客服也不知道,建议使用其他的号在平台上创建工单找技术工程师。让同事用他的号提交了工单,得到的答复是:“此账号存在网络攻击行为,暂不支持解封,封禁结束时间:2024-09-23 13:59:42”
无名的情绪涌上来,越想越气上班不在状态。
一直反问我自己,啥时候用阿里云账号进行过网络攻击行为?或者说我啥时候用过自己的实名备过案的博客站 ECS 服务器进行过网络攻击行为?
想不起来,实在想不起来。近期都在公司做安全值守工作,6 月 25 号才续费了全年的博客 ECS,且的博客站除了挂 t00ls 的签到脚本外没做过别的事情。现在 ECS 还能正常使用域名也都正常解析,所以想不明白账号冻结问题出在哪。
这感觉就像是莫名吃了一个哑巴亏…
事件时间线回顾
翻了下自己浏览器历史记录,在 6 月前都没用登录过阿里云控制台,直到 6 月 25 号收到 ESC 实例将要到期才登录控制进行续费,分期续了一年,固定 IP 因该有三年了吧。
随后整个 6 月份就没有登录过控制台,手机 APP 也同样没有登过。
步进到 7 月,上海的 “_石行动” 和 国 H 同步开始,就职企业进入防守方开始排班值守。7 月 23 号的时候,因为防护封禁 IP 需要查询来源 IP 是否有风险,未防止误封 IP 就使用了 https://cdn.console.aliyun.com/tool/ipCheck 来查询 IP 是否为阿里云回源 CDN IP。这个页面的功能需要登录账号,这也是 7 月来首次登录阿里云账号,所有查询均为手动点击浏览器功能进行的,非自动化。然后中午还是下午来着就不能用的,刷新页面后发现 “访问被拒绝”。
同样,在 23 号当晚,处理事件时对红队师傅的一个 dnslog 进行攻击误导。这个也是众多师傅们都用到技巧,使用了全球 ping 来干扰。回来的路上一直琢磨是不是因为这时候用到了阿里云的功能进行 dnslog 查询,然后导致账号被冻结可能?翻了浏览器访问记录发现是我想多了。
为啥这天记得清楚呢?因为我特么是夜里三点才回去的,嗯,用 DD 的打车。 等等,7 月 23 然后我账号解封是 9 月 23,好吧,现在合理怀疑就是这天被封的。
然后 7 月 23 号到今天 26 号,早上登录阿里云账号,发现被冻结。随后按照引导打电话给客服,第一个电话通话中途使用浏览器的无痕模式进行登录,这次没有直接跳冻结提示,而是 MFA 二次校验。我以为没事了就挂断了,输入完发现还是进入冻结提示,就打了第二通客服电话。
第二通电话客服联系完专员后告知我账号被冻结原因,因为 “网络安全攻击”。
所以账号为什么被冻结的还是没说清楚,而我也不能逮着客服怼毕竟还是要点素质的,在上班呢。随后找同事帮忙,让他登自己的账号帮我发起个工单询问下情况。阿里云线上工程师告知“暂不支持解封”。
待续
所以这事暂时看没个结果,不清不楚的被封了账号,除了打电话给客服有主动回电话外,什么专员啊工程师啊全都半隐身状态。就上上面说的,莫名吃了个哑巴亏除了等待啥也不能干。
也不知道身边有没有朋友能联系到阿里云的安全工程师的,虽然以前混过一些安全沙龙群,有些人都没说过话冒然加好友有点太突兀了,所以只能写个文章记录下。
毕竟这事心理憋着难受,不吐不快。
最后,我的账号触碰了什么网络安全攻击导致被封的?被封的这两月账号也不能用,记得域名好像是 11 月才过期来着,云 ECS 是近期续的。如果是在冻结期间用了几年的域名莫名没了,是该走 12315 还是 Cos 忍者神龟?最后不管啥时候解封,阿里云我个人是不会再用了,域名能转走就转走多花点钱就是,这冻结没有任何通知的心理慌的很。
下午蹲坑的时候 “看一看” 给我推了这类的文章,所以寻思着这种东西不冻结反而冻结我的账号?业务问题用户背锅?
