丧心病狂,用我的网站查了 100 多万个手机号网易邮箱

2019-09-29 20:28:40 +08:00
 yun
网站有一个功能是验证邮箱是否存在,每次只能查一个。

上个月邮件通知服务器 CPU 超过 100%,然后排查发现有人利用这个邮箱验证服务查了 100 多万个前缀是手机号的 163 邮箱。像这样类型的 1388039****@163,1868723****@163.com 。

3 天时间,查了一百多万,也不知道这大兄弟咋查的。

然后我把这个服务关了。。。
6193 次点击
所在节点    分享发现
21 条回复
byicer
2019-09-29 20:32:04 +08:00
黑产利用你网站验证账号?
uyhyygyug1234
2019-09-29 20:32:50 +08:00
‭1000000 ÷ 3 ÷ 24 ÷ 3600 =‬ 3.85 还好还好。
dji38838c
2019-09-29 20:47:41 +08:00
加个验证码就好了,用不着关了,还有别的正常用户要用嘛
yun
2019-09-29 20:50:17 +08:00
@byicer 黑产不黑产不知道,肯定是发垃圾邮件的,不知在哪搞到这些邮件,然后验证真伪再发垃圾邮件。

@uyhyygyug1234 他要是能慢慢验证还好了勒,高并发,恨不得一下都塞进服务器里。
yun
2019-09-29 20:51:56 +08:00
@dji38838c 是的,平时也就百多个验证,主要没时间,以后有空再把验证加上去。
uyhyygyug1234
2019-09-29 21:53:22 +08:00
@yun 你关了不解气啊,应该要搞些误报,让他也不知道到底有没有,白白浪费时间才好。
qiayue
2019-09-29 21:54:45 +08:00
你赚了 100 多万个手机号码了
wd
2019-09-29 22:53:48 +08:00
@qiayue #7 你咋这么聪明 小学哪上的?
caomu
2019-09-29 23:00:03 +08:00
@qiayue 不亏是大佬,眼光独到
opengps
2019-09-29 23:15:41 +08:00
这是一种穷举撞库识别无效号码的办法
yun
2019-09-29 23:16:03 +08:00
@uyhyygyug1234 哈哈,有道理

@qiayue 没价值,邮箱被暴库的网上一大堆,都是直接查询,没记录的。
locoz
2019-09-29 23:17:58 +08:00
多半是黑产在撞库
Fx8m
2019-09-30 08:38:40 +08:00
非常好奇是怎样 验证邮箱是否存在 的。
大佬能不能分享下原理。
locoz
2019-09-30 08:48:08 +08:00
@Fx8m #13 很简单,比如注册一下
Fx8m
2019-09-30 09:07:00 +08:00
@locoz 明显不是
locoz
2019-09-30 11:54:19 +08:00
@Fx8m #15 我只是举一个例子,具体的操作方式太多了,利用注册邮箱时的检测接口来判断是否存在只是其中之一。
yun
2019-10-06 17:14:44 +08:00
@Fx8m 发送邮箱之前,邮件服务器和目的地服务器会有个握手,然后返回握手信息后再发送,验证就是利用前半部分而不发送邮件来验证邮箱是否存在。
locoz
2019-10-07 15:00:02 +08:00
@yun #17 你好骚啊
Fx8m
2019-10-11 11:10:17 +08:00
@yun 我试了 163 139 邮箱 都返回 250 ok

错误邮箱 RCPTTO 也返回 250 ok 请问大佬是哪里没对吗
QUIOA
2019-10-25 21:07:59 +08:00
他想通过你这个网站反查绑定邮箱,收集搞成社工库

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/605490

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX