V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huangxiao123
V2EX  ›  信息安全

国内近期针对微软账户 Hotmail 进行扫号操作

  •  3
     
  •   huangxiao123 · 146 天前 · 15666 次点击
    这是一个创建于 146 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号

    通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下

    • 114.100.82.7 ,尝试登录时间为:6.22 00:08 分操作
    • 111.127.50.125 ,尝试登录时间为:6.23 17:35 分操作

    whois 信息如下

    • 114.100.82.7
    % [whois.apnic.net]
    % Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
    
    % Information related to '114.96.0.0 - 114.103.255.255'
    
    % Abuse contact for '114.96.0.0 - 114.103.255.255' is '[email protected]'
    
    inetnum:        114.96.0.0 - 114.103.255.255
    netname:        CHINANET-AH
    descr:          CHINANET Anhui PROVINCE NETWORK
    descr:          China Telecom
    descr:          No.31,jingrong street
    descr:          Beijing 100032
    country:        CN
    admin-c:        JW89-AP
    tech-c:         JW89-AP
    abuse-c:        AC1573-AP
    status:         ALLOCATED PORTABLE
    remarks:        service provider
    remarks:        --------------------------------------------------------
    remarks:        To report network abuse, please contact mnt-irt
    remarks:        For troubleshooting, please contact tech-c and admin-c
    remarks:        Report invalid contact via www.apnic.net/invalidcontact
    remarks:        --------------------------------------------------------
    mnt-by:         APNIC-HM
    mnt-lower:      MAINT-CHINANET-AH
    mnt-routes:     MAINT-CHINANET-AH
    mnt-irt:        IRT-CHINANET-CN
    last-modified:  2021-06-15T08:06:13Z
    source:         APNIC
    
    irt:            IRT-CHINANET-CN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    e-mail:         [email protected]
    abuse-mailbox:  [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    auth:           # Filtered
    remarks:        [email protected] was validated on 2024-04-15
    mnt-by:         MAINT-CHINANET
    last-modified:  2024-04-15T01:54:23Z
    source:         APNIC
    
    role:           ABUSE CHINANETCN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    country:        ZZ
    phone:          +000000000
    e-mail:         [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    nic-hdl:        AC1573-AP
    remarks:        Generated from irt object IRT-CHINANET-CN
    remarks:        [email protected] was validated on 2024-04-15
    abuse-mailbox:  [email protected]
    mnt-by:         APNIC-ABUSE
    last-modified:  2024-04-15T01:55:05Z
    source:         APNIC
    
    person:         Jinneng Wang
    address:        17/F, Postal Building No.120 Changjiang
    address:        Middle Road, Hefei, Anhui, China
    country:        CN
    phone:          +86-551-2659073
    fax-no:         +86-551-2659287
    e-mail:         [email protected]
    nic-hdl:        JW89-AP
    mnt-by:         MAINT-CHINANET-AH
    last-modified:  2014-02-21T01:19:43Z
    source:         APNIC
    
    % This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
    
    • 111.127.50.125
    % [whois.apnic.net]
    % Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
    
    % Information related to '111.126.0.0 - 111.127.255.255'
    
    % Abuse contact for '111.126.0.0 - 111.127.255.255' is '[email protected]'
    
    inetnum:        111.126.0.0 - 111.127.255.255
    netname:        CHINANET-NM
    descr:          CHINANET NeiMengGu province network
    descr:          Data Communication Division
    descr:          China Telecom
    descr:          No.31,jingrong street
    descr:          Beijing 100032
    country:        CN
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    abuse-c:        AC1573-AP
    status:         ALLOCATED PORTABLE
    remarks:        service provider
    remarks:        --------------------------------------------------------
    remarks:        To report network abuse, please contact mnt-irt
    remarks:        For troubleshooting, please contact tech-c and admin-c
    remarks:        Report invalid contact via www.apnic.net/invalidcontact
    remarks:        --------------------------------------------------------
    notify:         [email protected]
    mnt-by:         APNIC-HM
    mnt-lower:      MAINT-CHINANET-NM
    mnt-routes:     MAINT-CHINANET-NM
    mnt-irt:        IRT-CHINANET-CN
    last-modified:  2021-06-15T08:05:56Z
    source:         APNIC
    
    irt:            IRT-CHINANET-CN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    e-mail:         [email protected]
    abuse-mailbox:  [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    auth:           # Filtered
    remarks:        [email protected] was validated on 2024-04-15
    mnt-by:         MAINT-CHINANET
    last-modified:  2024-04-15T01:54:23Z
    source:         APNIC
    
    role:           ABUSE CHINANETCN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    country:        ZZ
    phone:          +000000000
    e-mail:         [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    nic-hdl:        AC1573-AP
    remarks:        Generated from irt object IRT-CHINANET-CN
    remarks:        [email protected] was validated on 2024-04-15
    abuse-mailbox:  [email protected]
    mnt-by:         APNIC-ABUSE
    last-modified:  2024-04-15T01:55:05Z
    source:         APNIC
    
    person:         Chinanet Hostmaster
    nic-hdl:        CH93-AP
    e-mail:         [email protected]
    address:        No.31 ,jingrong street,beijing
    address:        100032
    phone:          +86-10-58501724
    fax-no:         +86-10-58501724
    country:        CN
    mnt-by:         MAINT-CHINANET
    last-modified:  2022-02-28T06:53:44Z
    source:         APNIC
    
    % This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
    
    

    使用 https://ip.sy/查询的地理位置如下

    • 114.100.82.7: 中国安徽省合肥市瑶海区北二环路,瑶海区香江国际佳元(北二环路南) // 安徽省合肥市瑶海区方庙街道北二环路 144 号香江国际佳元
    • 111.127.50.125: 中国内蒙古自治区呼和浩特市赛罕区蒙中医院巷,赛罕区民望家园 1 区(蒙中医院巷北) // 内蒙古自治区呼和浩特市赛罕区昭乌达路街道民望巷民望家园一区

    ASN 均为: AS4134

    微步:

    腾讯威胁平台:

    查询总结:

    111.127.50.125 对应 ICP:

    两者 IP 只开了 53 TCP + 1041 TCP

    疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破

    144 条回复    2024-10-16 20:15:04 +08:00
    1  2  
    fairytale
        1
    fairytale  
       146 天前 via Android
    好像很多人弹了,昨天的事
    fairytale
        2
    fairytale  
       146 天前 via Android
    hotmail 被批量爆破太正常了,但是弹验证器这一步,第一次见。
    huangxiao123
        3
    huangxiao123  
    OP
       146 天前
    @fairytale 是,疑似是扫哥在 brEachFoRum 买的数据库
    huangxiao123
        4
    huangxiao123  
    OP
       146 天前
    @fairytale 我是运气好,之前微软弹出用 authenticator 的提醒,我弄了,后面我开了个无痕访问,发现只要用了 authenticator ,登录时候都直接弹点击 passcode 认证登录,而非输入密码
    BH1SMB
        5
    BH1SMB  
       146 天前
    我也有遇到,早晨起来看到有个奇怪的请求,但是我那天夜里睡得早,没有操作过
    6/18/2024 7:41 PM Unsuccessful sign-inBrazil
    Device/platform
    iOS
    Browser/app
    Safari
    IP address
    189.4.73.146
    Account alias
    [email protected]
    Session activity
    Incorrect password entered
    Map is not available for activity on mobile devices
    Look unfamiliar?
    Secure your account

    查询为
    inetnum: 189.4.0.0/14
    aut-num: AS28573
    abuse-c: GRSVI
    owner: Claro NXT Telecomunicacoes Ltda
    ownerid: 66.970.229/0001-67
    responsible: Suporte Redes
    country: BR
    owner-c: GRSVI
    tech-c: GRSVI
    inetrev: 189.4.64.0/18
    nserver: ns7.virtua.com.br
    nsstat: 20240623 AA
    nslastaa: 20240623
    nserver: ns8.virtua.com.br [lame - not published]
    nsstat: 20240623 TIMEOUT
    nslastaa: 20230430
    created: 20060906
    changed: 20220615
    BH1SMB
        6
    BH1SMB  
       146 天前
    6/20/2024 12:38 PMUnsuccessful sign-inUkraine
    Device/platform
    iOS
    Browser/app
    Safari
    IP address
    212.68.172.63

    另一个请求,这是哪里数据库泄漏了吗
    huangxiao123
        7
    huangxiao123  
    OP
       146 天前
    @BH1SMB 不知道,但是应该是从 brEachFoRum 买的数据,或者是有人打了微软拿到的数据库,个人猜测感觉像国内红队干的事,想着境外有 CIA ,FBI ,于是用国内 IP 打国外,别人就算查到了也无可奈何
    lcy630409
        8
    lcy630409  
       146 天前
    .....刚中午的时候 走在路上 突然弹了 我直接点否了
    回来就看这...
    意思是密码泄露了?改密码有用么?
    huangxiao123
        9
    huangxiao123  
    OP
       146 天前
    @lcy630409 现在也是不知道到底是什么手段,如果是泄露,改密码有用,但是如果是打的微软,那肯定没用,你改了密码,攻击者又去同步一次,现在有效手段就是遇到非本人操作的行为,点击拒绝
    huangxiao123
        10
    huangxiao123  
    OP
       146 天前
    @huangxiao123 不单止改密码,估计邮箱也要改改,不然会一直弹认证
    yyzh
        11
    yyzh  
       146 天前 via Android
    @BH1SMB 同被 virtua.com.br 这家的 187.183.44.50 地址攻击

    然后还有湖北的 111.178.127.195
    huangxiao123
        12
    huangxiao123  
    OP
       146 天前
    @BH1SMB 端口扫描发现
    http://212.68.172.63:888/debug/pprof/allocs?debug=1
    http://212.68.172.63/

    其余没太大额外信息了
    shinsekai
        13
    shinsekai  
       146 天前
    看了下记录攻击了很多次,都是输入的密码不正确。另外还有 IMAP 同步失败的
    huangxiao123
        14
    huangxiao123  
    OP
       146 天前
    @huangxiao123 看 go 内存得知,应该是跑了一个爆破服务,其用户名叫 daan 跑了一个名为 krakenAIO-server 的程序

    其中 "kraken" 读音类似 "kracken" = "cracken",网络安全用于一般是指爆破,"AIO" 应该是指异步、多线程,"server"指服务端,并且看到有 redis ,怀疑是用 agent 组合的方式进行爆破,并且回传爆破成功的信息进入 redis
    huangxiao123
        15
    huangxiao123  
    OP
       146 天前
    @huangxiao123 纠正,是名为 daan 用户写的
    uuhhme
        16
    uuhhme  
       146 天前 via Android
    我看了一下我的,我的是 live 域名,但是对外都是 msn ,3 号 4 号 6 号 7 号被大规模尝试错误密码登录,ip 都是德美印法。我的密码挺简单但是开了 2fa 。
    huangxiao123
        17
    huangxiao123  
    OP
       146 天前
    @uuhhme 这就很难判断攻击者了,也许是印度哥 LOL
    huangxiao123
        18
    huangxiao123  
    OP
       146 天前
    更新,刚刚又有一个 IP 试图登录
    182.204.228.232
    165924
        19
    165924  
       146 天前
    @huangxiao123 AIO 不是 all in one 吗(乱猜的
    qlee1122
        20
    qlee1122  
       146 天前
    我要不看到你这个贴,我还真不知道这些活动不少啊

    ![pic]( https://imgur.com/a/pkhaisI)
    huangxiao123
        21
    huangxiao123  
    OP
       146 天前
    @165924 不知道 LOL ,也有可能
    huangxiao123
        22
    huangxiao123  
    OP
       146 天前
    @qlee1122 我这目前三个,中间那个 HongKong ASR 是我之外,其他全是爆破

    https://imgur.com/uoaB3mo
    Yadomin
        23
    Yadomin  
       146 天前
    虽然没有登录成功,但是不是密码确实泄露了,被 2FA 拦住了,有点害怕😰

    Protocol: IMAP
    IP: 116.22.0.37
    Account alias:
    [email protected]
    Time: 6/21/2024 3:12 PM
    Approximate location: China
    Type: Unsuccessful sync
    bluetree2039
        24
    bluetree2039  
       146 天前
    我看了我的 msn 账户,
    从 5 月 21 号开始,就全球好多国家登录失败。 密码错误
    这是最早的记录:

    设备/平台
    Windows
    浏览器/应用
    Internet Explorer
    IP 地址
    194.32.120.86
    bluetree2039
        25
    bluetree2039  
       146 天前
    @shinsekai 我和你一样
    ST0RMTR00PER
        26
    ST0RMTR00PER  
       146 天前
    我也收到了,以为自己帐号泄露了,但是我是无密码帐号。
    huangxiao123
        27
    huangxiao123  
    OP
       146 天前
    我寻思攻击者是不是找到从微软账户后台下发命令到使用微软账户主机的方法?为什么日期都集中在最近?
    Andim
        28
    Andim  
       146 天前
    我也看了下,从 5 月开始到现在一直持续

    Nasei
        29
    Nasei  
       146 天前
    不是密码泄漏,因为登录失败原因是密码错误,我这从 5 月份或者更早就有了(因为登录记录只有最近一个月),我也没有绑验证器之类的东西
    huangxiao123
        30
    huangxiao123  
    OP
       146 天前
    现在可以确定的是,攻击者有一份准确的账户列表,但其数据来源未知,也不知道是否包含密码,用大量的 IP 去爆破,可能是僵尸网络
    xiaozecn
        31
    xiaozecn  
       146 天前
    这种,好几年了,一直有。
    aitianci
        32
    aitianci  
       146 天前
    @Andim #28 我跟你一样,全世界人都在破解我这个小破邮箱😂
    huangxiao123
        33
    huangxiao123  
    OP
       146 天前
    这个 IP:194.32.120.86 ,在微步上捕获的数据包,在打 CVE-2017-9841 的 EXP

    https://imgur.com/3FqDuj8
    huangxiao123
        34
    huangxiao123  
    OP
       146 天前
    @xiaozecn #31 感谢补充信息,但是本人是自从昨天才开始收到这样的信息
    huangxiao123
        35
    huangxiao123  
    OP
       146 天前
    @huangxiao123 #33 估计是,打 EXP ,然后用 agent 端控制,下发爆破任务
    haodingzan
        36
    haodingzan  
       146 天前
    看了一下,我有一个 6 月 3 日,180.127.241.59 的登录失败记录,密码错误。使用的登录别名一直以来都是专用于邮箱客户端的。
    bobryjosin
        37
    bobryjosin  
       146 天前
    我这好像没有国内的登陆请求,有几个厄瓜多秘鲁巴西的请求,也是 n 年前的别名了,不过我已经开无密码账户,登陆也是优先用 yubikey 登陆,炸就炸吧😂
    ztjal
        38
    ztjal  
       146 天前
    巨硬就不会自动封一下这些重试次数超多的 IP 吗
    huangxiao123
        39
    huangxiao123  
    OP
       146 天前
    @ztjal #38 这就是为什么会有大量 IP 去爆破
    SayHelloHi
        40
    SayHelloHi  
       146 天前
    前几天 发现账号登录 微软验证 App 弹出了验证消息
    SayHelloHi
        41
    SayHelloHi  
       146 天前
    刚刚登录 发现有多了很多

    PbCopy111
        42
    PbCopy111  
       146 天前
    你们都用 hotmail 注册国外的网站了吧,比如 X 之类的
    huangxiao123
        43
    huangxiao123  
    OP
       146 天前
    @PbCopy111 #42 我没有,hotmail 是独立的
    dididi9527
        44
    dididi9527  
       146 天前
    微软账户这种情况有很多年了,刚看了下我那个在很多地方注册账号时留的主邮箱,这个账号有开 Authenticator ,依然每天有好几次尝试登录,都是密码不正确,全球各地都有包括中国。另外一个很少地方用到的小号,没开 Authenticator 的,却没什么尝试登录。我估计就是其它网站的泄露,然后我的密码都是密码管理器生成的,不会跟那些网站用同一个密码,所以怎么尝试都是密码不正确
    Pangdouya
        45
    Pangdouya  
       146 天前
    遇到了类似的情况,还好两步验证提醒了我。
    hazy
        46
    hazy  
       145 天前
    3 位 live 邮箱表示很多年了一直都有,每小时都有几条来自全世界尝试登录失败的记录,也碰到过几次微软 Authenticator 弹二验的情况,拒绝并改密码就好了。去年换用 bitwarden 复杂随机密码 + 非微软 TOTP 后到现在还没弹过。
    life90
        47
    life90  
       145 天前
    这下突然发现不是一个人了。看我的 https://v2ex.com/t/1023947
    wyf88
        48
    wyf88  
       145 天前 via iPhone
    不说不知道,看了下我的才发现也是从 6 月份开始每天都有登录失败记录。
    特别的是,其中一个 alias 是我后面才申请的,印象中只用来注册了两个网站,GitHub 和 Twitter 。从被攻击的群体和动机上,感觉 Twitter 更有可能一些…
    你们的邮箱也是用来注册 Twitter 的吗?
    uiiytwyfsdtr
        49
    uiiytwyfsdtr  
       145 天前
    twitter 的安全是做得特别差的

    太多漏洞了

    大家在这个平台上面一定要小心
    patrickyoung
        50
    patrickyoung  
       145 天前 via Android
    楼主有没有第三方的匿名联系方式,搞一个临时的发一下,我可以给你提供进一步的东西
    huangxiao123
        51
    huangxiao123  
    OP
       145 天前
    @uiiytwyfsdtr #49 我感觉是微软数据库被人打了,不然不可能有那么精准的邮箱列表
    nothingistrue
        52
    nothingistrue  
       145 天前
    Microsoft Authenticator (手机应用)对于微软账号来说是免密登陆器,不是 2FA 。对方只要输入邮箱地址,选择用 Authenticator 登录,你的 Authenticator 就会弹登录。你要没注意点了同意,对方就登录上你的账号了。

    对方要是买了 Hotmail 邮箱地址,然后脚本逐个去尝试使用 Authenticator 登录的话,真有几率骗几个登录。实际影响应该不大,因为 Authenticator 和邮件都会有异地登录提示,后续改密码等敏感操作,还会再要求登录。但防不胜防,还是高危漏洞,微软要处理的。
    huangxiao123
        53
    huangxiao123  
    OP
       145 天前
    @nothingistrue #52 是的,有些马大哈的用户,刚好点中那个 code ,就 G 了
    huangxiao123
        54
    huangxiao123  
    OP
       145 天前
    huangxiao123
        55
    huangxiao123  
    OP
       145 天前
    @uiiytwyfsdtr #49 感谢提醒
    huangxiao123
        56
    huangxiao123  
    OP
       145 天前
    @life90 #47 感谢补充
    doyel
        57
    doyel  
       145 天前
    @bluetree2039 我从年头开始每天固定几次,全球各地 IP 都是尝试密码失败,账户无密码全靠 2FA ,就怕在线 2FA 给端了。。。一点防御手段都没有吗?
    patrickyoung
        58
    patrickyoung  
       145 天前 via Android
    @huangxiao123 已发送
    huangxiao123
        59
    huangxiao123  
    OP
       145 天前
    @patrickyoung #58 感谢补充,已回信
    IV16SL
        60
    IV16SL  
       145 天前
    我的账户没有遇到这个问题,前几个月,我把账号区域从香港改到了美国,删除了手机号和密码,改用 Passkey 登录(因此也必须添加微软自己的 Authenticator 兜底)
    LancerComet
        61
    LancerComet  
       145 天前
    Hotmail 这个已经持续相当长一段时间了,两三年前已经开始了,用 Authenticator 或 Passkey
    David5151
        62
    David5151  
       145 天前
    刚刚半夜弹,点了拒绝,开了无密码应该不要紧吧
    dpc
        63
    dpc  
       145 天前   ❤️ 1
    @huangxiao123 同感,我的很多 alias 从来没有在任何地方使用过,但是依然看到了登陆尝试。
    houzhishi
        64
    houzhishi  
       145 天前
    黑产,不至于是红队
    bluetree2039
        65
    bluetree2039  
       145 天前 via iPhone
    @doyel 应该没办法
    Rrrrrr
        66
    Rrrrrr  
       145 天前
    自认是没怎么用这个邮箱,登录上去看也很多尝试登录的
    terryl
        67
    terryl  
       145 天前
    黑产,最近半年一直有碰到这个问题!
    Webpoplayer
        68
    Webpoplayer  
       145 天前
    也是刚看了下,从 5 月下旬开始,一直有登录失败的记录..`津巴布韦` `克罗地亚` `葡萄牙` `德国` `荷兰`都是这几个地方,有 imap 同步失败的,有登录失败的
    clandyuki
        69
    clandyuki  
       145 天前
    我遇到的是 5 月份微软账户的邮箱收到封关于替换账户安全信息的通知,就是安全邮箱被替换为 [email protected] 这样的一个地址,还好微软拦截了而且我看到了邮件,不然三十天后就会替换成功,到时候可能账户就找不回来了。然后查看了登录活动,也是一堆国内其他地方的登录,这种情况是密码泄露了吗?微软的话应该不会明文泄露吧。
    看到这个帖子又去瞄了眼登录活动,最近有一个,但是密码没输对登录失败。
    jhytxy
        70
    jhytxy  
       145 天前
    昨天也弹登录了
    microka
        71
    microka  
       145 天前
    只有 hotmail 遇到吗?我的 outlook 看了下没发现异常登录活动。
    hafuhafu
        72
    hafuhafu  
       145 天前
    这个月收到过两次微软一次性代码的邮件,一次是昨天,而且都是同一个我很久很久没用而且印象中没有完全对外公开过的账号( hotmail ),很迷惑。
    davin
        73
    davin  
       145 天前
    outlook 表示无异样
    xujinkai
        74
    xujinkai  
       145 天前 via Android
    我今天早上弹了 outlook 邮箱
    IP 地址
    120.84.127.185
    BlueSkyXN
        75
    BlueSkyXN  
       145 天前
    ![微软验证器]( https://pic4.58cdn.com.cn/nowater/webim/big/n_v2e2824154edca49938f815f7e37c3eef1.jpg)


    ![微软]( https://pic6.58cdn.com.cn/nowater/webim/big/n_v2075aa7dfde2a407eaee3fe44820ebabc.jpg)

    我是 vip.qq.com ,22 号中午

    贵阳市 , 中国
    117.189.90.59
    China Mobile Communications Group Co., Ltd.
    lifei6671
        76
    lifei6671  
       145 天前
    @165924 AIO 也可能是异步非阻塞的英文缩写。😁
    xunandotme
        77
    xunandotme  
       145 天前
    计算机图标 10 小时前登录失败俄罗斯
    手持设备图标 2024/6/22 15:26 登录失败巴西
    手持设备图标 2024/6/22 15:14 登录失败巴西
    计算机图标 2024/6/22 12:55 登录失败越南
    计算机图标 2024/6/22 11:20 登录失败美国
    计算机图标 2024/6/22 8:11 登录失败意大利
    计算机图标 2024/6/21 22:37 登录失败加拿大
    计算机图标 2024/6/21 18:58 登录失败巴西
    计算机图标 2024/6/21 18:07 登录失败美国
    计算机图标 2024/6/21 16:59 登录失败巴西
    手持设备图标 2024/6/21 15:39 登录失败墨西哥
    计算机图标 2024/6/21 14:12 登录失败巴西
    自动同步设备图标 2024/6/21 10:20 自动同步 德国
    计算机图标 2024/6/20 22:07 登录失败巴西
    计算机图标 2024/6/20 20:46 登录失败美国
    计算机图标 2024/6/20 20:08 登录失败巴西
    计算机图标 2024/6/20 19:28 登录失败越南
    计算机图标 2024/6/20 18:07 登录失败巴西
    手持设备图标 2024/6/20 16:01 登录失败美国
    手持设备图标 2024/6/20 15:27 登录失败韩国
    计算机图标 2024/6/20 11:13 登录失败文莱
    计算机图标 2024/6/20 9:47 登录失败巴基斯坦
    计算机图标 2024/6/20 3:45 登录失败德国
    计算机图标 2024/6/19 23:40 登录失败伊朗
    计算机图标 2024/6/19 2:52 登录失败俄罗斯
    计算机图标 2024/6/18 22:15 登录失败巴西
    手持设备图标 2024/6/18 7:41 登录失败德国
    计算机图标 2024/6/18 0:48 登录失败俄罗斯
    计算机图标 2024/6/18 0:20 登录失败美国
    手持设备图标 2024/6/17 12:20 登录失败英国
    手持设备图标 2024/6/16 20:21 登录失败美国
    计算机图标 2024/6/16 3:36 登录失败美国
    未知设备图标 2024/6/14 14:45 登录失败亚美尼亚
    未知设备图标 2024/6/14 11:14 登录失败乌克兰
    计算机图标 2024/6/14 10:31 登录失败德国
    未知设备图标 2024/6/14 10:09 登录失败俄罗斯
    计算机图标 2024/6/13 18:19 登录失败俄罗斯
    hokori
        78
    hokori  
       145 天前
    @ztjal 不会 我的每 30 分钟就会有人同步或者尝试登陆,之前还被成功同步过 我的密码本都被泄漏 导致全部账号都被我加了 2fa
    Claire9518
        79
    Claire9518  
       145 天前
    我这遇到的情况也类似,但是没那么频繁。不过登录别名是我的手机号和另外一个邮箱账号密码
    hqt1021
        80
    hqt1021  
       145 天前 via Android   ❤️ 1
    日常其他库密码泄露扫 combo 而已 绑卡了就买 xgp 开挂去了 遇到有价值的游戏就给你挂改了
    你查到的都是代理 IP ,一个 IP 登录多了,他全 FAIL 了。这种代理 IP 也不贵,200 左右一个月,每秒 20 个
    iv2ex
        81
    iv2ex  
       145 天前
    https://imgur.com/BoFpFpl

    显示“检测到异常活动”,这个需要改密码吗?
    iv2ex
        82
    iv2ex  
       145 天前
    zzzlight
        83
    zzzlight  
       145 天前
    好像看记录暂时没发现这个
    hqt1021
        84
    hqt1021  
       145 天前 via Android
    这里展示一张扫号软件的图片
    [img]https://p1.meituan.net/csc/c7e53d3d518eb3020b8c026684d007f4123698.jpg[/img]
    每秒扫描两万号。。
    iv2ex
        85
    iv2ex  
       145 天前
    winglight2016
        86
    winglight2016  
       145 天前
    的确,我前两天也收到个弹窗,我还纳闷怎么回事儿。然后打开 lz 提供的活动记录页面,发现昨天从早到晚都在尝试登录然后失败,看来 2FA 还是很有意义啊。
    huangxiao123
        87
    huangxiao123  
    OP
       145 天前
    补充一段,前面老哥 PM 我提到的:

    是临近护网,由 G*V 聘用国内**信组织的提前护网漏扫的操作(不通知 GA 一所),会对泄露的账户进行扫号操作
    huangxiao123
        88
    huangxiao123  
    OP
       145 天前
    @hqt1021 #84 前面有疑似是爆破软件的内存分析,看上去是分布式爆破,golang 写的,CS 端的
    huangxiao123
        89
    huangxiao123  
    OP
       145 天前
    @lifei6671 #76 Get it!
    huangxiao123
        90
    huangxiao123  
    OP
       145 天前
    @houzhishi #64 有可能,黑产哥“无所不能”
    yxc
        91
    yxc  
       145 天前
    https://account.live.com/Activity
    刚看上去看了下,确实有,5 月底开始的每天都有,爆破的都是我的别名用户
    这个别名我肯定是没公开过的,所以应该不是泄露的
    huangxiao123
        92
    huangxiao123  
    OP
       145 天前
    @huangxiao123 #87 该信息仅供参考
    SunsetShimmer
        93
    SunsetShimmer  
       145 天前
    6/12 左右有来自阿根廷和巴西的对 Outlook 绑定 Gmail 的尝试,密码错误。
    curiohuang
        94
    curiohuang  
       145 天前
    最近遇到不止一次了,今天睡醒还看到一个登录请求
    huangxiao123
        95
    huangxiao123  
    OP
       145 天前   ❤️ 1
    百密并无一疏,目前还不知道是谁发起的攻击,只知道大概的手段

    通过 web 漏洞打进别人的服务器,服务器种 agent ,通过 agent 下发爆破任务回传至 server 端

    希望 v 友在发现恶意登录 IP 的同时,把恶意 IP 也发出来,供大家参考或者进行下一步操作
    fu82581983
        96
    fu82581983  
       145 天前
    最近半年时不时收到二次验证的邮件,看了一下登录记录,几乎每周都会尝试,而且发现都是别名登录的,印象中 outlook 的别名邮箱极少使用
    hqt1021
        97
    hqt1021  
       145 天前 via Android
    @huangxiao123 并不是分布式,而是很多人在扫。。。
    我手上就有俩付费的扫微软工具。。
    zjuster
        98
    zjuster  
       145 天前
    时间可能更久一点。而且我是 outlook 邮箱。

    大概半年前就跳过一次,昨天确实也跳了,登录显示国内。里面还有好几次密码错误的。

    我每个邮箱和账号的密码都是独立的,不太理解是怎么试出密码的??难道微软被拖库...
    zjuster
        99
    zjuster  
       145 天前
    IP address
    118.117.188.245
    IP address
    123.180.171.87

    这两个是密码错误

    IP address
    175.162.214.174

    这个是直接触发 2FA ,被我拒绝。

    看了下更多历史,6 月 5 、6 、7 、8 有多次不成功登录。都是国内 IP ,Windows Chrome (但我所有设备都是苹果平台)

    我的 Outlook 只用于求职工作和微软系登录,别无他用...微软是不是被内部阿三搞泄库了
    yuewenjie
        100
    yuewenjie  
       145 天前
    刚才 Authenticator 弹了好几次,我把密码改了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2756 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 88ms · UTC 15:06 · PVG 23:06 · LAX 07:06 · JFK 10:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.