關於fxtwitter疑似被駭
21 Feb 2024昨天在我待的幾個 DC 群都有人轉貼一篇文章,說 Discord 常用的 fx 開頭的縮圖預覽服務被駭了,大家要小心。
我不想用「我不知道真假,總之大家小心」這樣的說詞去繼續轉貼未知的情報,既然這個議題我有能力查證,就自己研究一下吧。
發生什麼事情
For any moots running Discord servers pic.twitter.com/29MgRPvApu
— 👻BRETT MCGOWAN WRITES ABOUT BANSHEES👻 (@CelticBrett) February 18, 2024
來源似乎是這篇貼文,說 FxDeviantart 服務被駭。結果事實上似乎只是人家網域過期沒有續約,但後來越傳越誇張,變成網站被駭客入侵、點連結就會中毒,還變成其他 fx 前綴的服務都可能有問題。
fx 預覽運作原理
基本觀念
首先要有的觀念是,沒有所謂的 “fx 服務” 這種東西,不是所有的網站網址加 fx 兩個字就會自動生效,而是提供這項服務的人為了方便使用者記憶,特別去申請了 fxtwitter 這個名稱的網域。
所以自然不會有所有 fx 前綴服務同時被駭這件事情,除非這些類似的服務都是同一個人開發的,而他提供的程式碼有毒。
原理
至於這類服務的運作原理,可以實際去看 HTTP 傳輸的內容就知道了。
$ curl --user-agent "Mozilla/5.0 (platform; rv:geckoversion) Gecko/geckotrail Firefox/firefoxversion" -v https://fxtwitter.com/CelticBrett/status/1759060682748965321
< HTTP/2 302
< content-type: text/html;charset=UTF-8
< location: https://twitter.com/CelticBrett/status/1759060682748965321
< allow: OPTIONS, GET, PURGE, HEAD
< vary: Accept-Encoding, User-Agent
這邊只節錄一些片段,可以看到當使用者透過普通的網路瀏覽器開啟這個網址的時候,他只是一個單純的 302 轉址服務,會帶你去原本的網址。
但如果你把user-agent換成 DC 的機器人
$ curl --user-agent "Mozilla/5.0 (compatible; Discordbot/2.0; +https://discordapp.com)" https://fxtwitter.com/CelticBrett/status/1759060682748965321
<head>
<link
rel="canonical"
href="https://twitter.com/CelticBrett/status/1759060682748965321"
/>
<meta
property="og:url"
content="https://twitter.com/CelticBrett/status/1759060682748965321"
/>
<meta property="twitter:site" content="@CelticBrett" />
<meta property="twitter:creator" content="@CelticBrett" />
<meta property="theme-color" content="#00a8fc" />
<meta
property="twitter:title"
content="👻BRETT MCGOWAN WRITES ABOUT BANSHEES👻 (@CelticBrett)"
/>
<meta
property="twitter:image"
content="https://pbs.twimg.com/media/GGlwXDjakAAOYol.jpg"
/>
<meta
property="og:image"
content="https://pbs.twimg.com/media/GGlwXDjakAAOYol.jpg"
/>
</head>
系統就會把攜帶預覽資訊的 Open Graph Data 帶出來,讓 Discord 的機器人可以正確爬取預覽資訊。
風險
今天假設 fxtwitter 真的被駭客入侵,最大的風險應該就是在轉址的地方動手腳,引導你去偽造的推特網站輸入帳號密碼。以後看到這類網址,要睜大眼睛看清楚你到底被帶到哪裡去了。
