連登 lihkg.com 硏究與分析
(更新版本)
連登討論區近月在網上組織及散播反中國香港政府及國家的暴亂行動及訊息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我嘗試盡我綿力去研究和分析一下。
連登網站受 Cloudflare 保護,網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。
其伺服器的供應商是 Digital Ocean,一共有兩個伺服器,其中一個是位於印度 (Bangalore, India),而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。而另一個是位於新加坡 (Singapore),而網絡地址為 206.189.86.198。可以從 http://206.189.86.198 前往證實。但印度的伺服器是主要的伺服器,另一個相信是用來作跳轉或負載平衡用途。
連登擁有多個副域名 (Subdomain),她們是 amp.lihkg.com,may-web-31.lihkg.com,www.lihkg.com 和 x.lihkg.com。除此之外,還有 lih.kg 網址。
其網頁伺服器 (Web Server) 是 Nginx,其中一個版本不詳,另一個版本為 1.12.2。她是安裝在 Linux 系統中,但其 Linux 版本也不詳。
主伺服器共有 22,80,111,3000 及 9000 五個端口 (Port) 開放。副伺服器共有 22,80,443,111及 8080 五個端口開放。
22 端口的服務為 OpenSSH 7.4,可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。但這兩個漏洞對入侵方面,並沒有起很大的作用。
至於 443 端口在主伺服器是由 Cloudflare 提供,並可從 80 及 9000 端口跳轉。
3000 端口是一個入口,是用 React.js 編寫,從標題中估計是用來管理廣告的,而 9000 端口為 Express node.js 框架 (Framework),是網站的編程主要語言。所以,連登是由 JavaScript 編寫的。
其 3000 端口,似乎對網頁請求方面的阻斷服務攻擊免疫。9000 端口是被 Cloudflare 保護的,所以任何形式的阻斷服務攻擊都未能湊效,除非攻擊流量極之大。
而 80,443 及 9000 端口有 Cloudflare 的網頁防火牆保護。
至於副伺服器的 80,443 和 8080 端口是用來跳轉到主伺服器的。
如果在 443 端口進行網頁漏洞攻擊,難度比較高,因為有 Cloudflare 的網頁防火牆保護。況且,暫時仍未有發現在網頁上存有漏洞。
相信管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。
如果要進一步檢視連登,是需要注册成為用戶,方可繼續進行。可是,該站需要網絡供應商、大學或大專院校的認證電郵地址方能注册成為會員。
最後,如果警方或政府可以攔截或堵塞其域名和副域名,甚至網絡地址的話,相信其黨羽並不能在短期內取得有關行動的訊息,從而減低其組織性和破壞性。
其他相關資料 :
谷歌廣告戶口是 :
Google AdSense ca-pub-3240616428100660
根據谷歌的廣告戶口,可以經谷歌追查該戶口的持有人及其銀行帳戶資料。
谷歌網站流量分析戶口是 :
Google Analytics UA-87624244-4
搜尋器指引
https://lihkg.com/robots.txt
用戶前台入口
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月三日,中國香港
最新消息 (二零一九年八月五日,中國香港)
意想不到地,連登的主持人也看我的博客。他們立即更改其虛擬私人伺服器 (VPS),認真是懦夫!我以為他們是天不怕地不怕的?!失望中!
若果大家暫時未能找到她們的網絡地址的話,不要灰心,因為其收入來源是經谷歌廣告,其谷歌廣告戶口可以追查得到其持有人。
再者,網絡地址對網站入侵作用並不大。所以將網站網絡地址隱藏,並沒有多大的意思。
其網站所使用的加密證書 (SSL Certificate) 是由 Cloudflare 提供的。伺服器並沒有自己的加密證書,所以我們會很容易繞過 Cloudflare 的防火牆。若果其網站有自己的加密證書,繞過 Cloudflare 的防火牆也亦不困難。
至於防火牆,Cloudflare 是使用改良版本的 modsecurity。其實,modsecurity 不是那麼完美的。
最新消息 (二零一九年八月六日,中國香港)
經過連日來的觀察所得,連登是一個一連串暴力和破壞事件的指揮及聯絡中心,他們會在連登上頒佈指令,提供現場實況給暴徒參考,及在資源上的調配。
他們會在連登裏公佈 Telegram「用完即棄」的谷 (Group) 方便計對特定的行動上的聯絡和指揮。但是,不是所以暴徒都知道有這個安排。他們建議所有暴徒在 Telegram 谷內隱藏電話號碼和其資料,所以有甚麼人參與那些谷,他們是不清楚的。
暴徒組織嚴謹,有攻擊小隊、偵察小隊、物資供應小隊、集會大隊等,當中也不乏戲子呢!
所以,連登創辦人「望遠」 (Profile ID 3) 等,提供平台給暴徒進行暴力襲擊事件,而不加以阻止,他們在這一連串暴力和破壞事件中是責無旁貸的。
最新消息 (二零一九年八月十一日,中國香港)
連登的論壇現在是寄存在亞馬遜雲端,而且具有電郵伺服器的功能,其主域名部份資料為 :
s1._domainkey.lihkg.com - s1.domainkey.u4005023.wl024.sendgrid.net
s2._domainkey.lihkg.com - s2.domainkey.u4005023.wl024.sendgrid.net
mandrill._domainkey.lihkg.com - "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrLHiExVd55zd/IQ/J/mRwSRMAocV/hMB3jXwaHH36d9NaVynQFYV8NaWi69c1veUtRzGt7yAioXqLj7Z4TeEUoOLgrKsn8YnckGs9i3B3tVFB+Ch/4mPhXWiNfNdynHWBcPcbJ8kjEQ2U8y78dHZj1YeRXXVvWob2OaKynO8/lQIDAQAB;"
mx._domainkey.lihkg.com - "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYjURk53r/mHevsulTXdxLHAguJ/I/Z+N3YwSpLutuMrNFSIpRPNUTDe1JE+ihMaa+2hY9g+b2LMDSGfO04n8FxAreJXD8RS/SxWBBL+xcIXKsgrd2PbR8S4DdNZNeHCD9OntyTbgPpNNOEuJp+0xPJ+1VfVjpDXxFzTDgdRcQiwIDAQAB"
_acme-challenge.lihkg.com - "ZHEbpsejbIDZINtxutN-VUEGe_VHUx4i5NB32ZWx6eo"
_amazonses.lihkg.com - "E4EPJITK7/pdJy4edQ6oXLZ+0R7GLVp3NG9zauUs/Qw="
lihkg.com - "google-site-verification=q9ZG1rQjq0RIDQhhszFdVuKsS01VSsDukzxpkxr0Xe4"
lihkg.com - "v=spf1 include:mailgun.org include:spf.mandrillapp.com ~all"