bugly

@xiangbohua @Liuman @est @tes286 @lscho @pytth

我从样本中溯源了一个 xml ，看起来是一个售卖视频的页面，加载流程基本如下，下面的域名不固定，感觉会根据可用性判断跳转地点：

1 => 从某个上级渠道带参数进入我方 xml 执行 JS ，继续生成参数跳转到下一个域名

2 => 进入新的 htm 地址： https://img.yeepay.com/spaceTravel/img/2508122039270000006.htm

3 => 在页面调用了个后端接口： https://web.游小戏.cn/index/index/get?buck=XXXXXX&str=XXXXXX&sign=1111

4 => 生成一个访问 URL ，调用新的接口： https://mam.云途腾.cn/api/url.php?k=1&jump=1&buck=XXXXXX&ur=&t=1111

5 => 根据 4 中返回的 url 又进入一个域名： http://uploadn.luoxiangqiche.com/jiahui-cms-lab/prod/ee9d1d0fe5f1d1f722236c69ee67dd0a.html

做了这么多，只是为了保护 5 的目标地址？ 5 从源码看有支付功能，后端接口是 3 ，域名是一个做挂车的公司持有 ，在微信中依然能访问，我已经给他们留言了。

@lscho 老师，这条作业流水线上我也是第一责任人吗....

@lscho 我觉得这个很难追责，目前从采样的 xml 样本分析中可以发现，每一个植入的脚本都指向不同的域名，他们明显不止控制了一个站点，有些可以拼接 html/xml 提供入口，有些可以注入 js 代码，有些可以提权执行后端代码，为了防止被追踪，访问链接也是重定向了很多次，再由这些零件组装了一个完善的诈骗站点。虽然我已经清理了这些恶意文件，但是不影响他们整个网络的运行。

@lscho 我觉得你说的对，

一：我因为此次事件对我客户造成的损失，确实是第一责任人，这个道理我明白，也承担了客户的全部损失。
二，微信因为恶意文件的存在，封禁我的域名，我也能理解，我按照流程复查处理、申诉；
三：假如有人通过访问这个 xml 文件，再跳转到诈骗页面，这个人上当受骗，我也还是第一责任人吗？

@lscho 第一责任人不应该是干坏事和因此获利的人吗，谁能保证自己业务的几十万行代码，每一行都安全呢。如果这样推论：坏人去 A 家拿了菜刀砍人，A 是第一责任人，就因为 A 没锁上厨房的门、没把菜刀放保险箱？

再向上推论微信平台、手机的存在才导致这一系列的后果，如果没有微信、没有手机、没有互联网，就不会有人在网上上当受骗。

@tes286
我们的业务大部分不涉及后端，前端开发完流水线同步发布到 oss ，通过用 CDN 访问，由于全景之类的项目会生成很多 xml 文件，文件内又有各种资源的引用，还要考虑性能等各种限制，所以对资源进行签名难度比较高。而且我们一直把 xml 当作一种可信任的配置格式。


@busier
被封禁能理解，主要是解决问题的过程曲折，损失的部分是学费吧。


@bthulu
一直兢兢业业，平时也很注意安全，连诱导分享都不敢做，所以没有提前准备对抗手段。

@tencentcloud 非常感谢 确实帮我们解决大问题！

我们后续会加强网站安全建设，避免被黑灰产再次利用。

@anivie 第一次申诉会有提示是什么原因，哪些文件造成的，然后就立马删除这些文件了，并遍历了桶内的全部文件。

第二天申诉还是一样的邮件回复，一天只能提交 1 次，我们想了各种方法，比如上面提到的，都是完全一样的邮件回复，坚持申诉了一周多，感觉不会有改变，就放弃了。

@est 我们是做 VR 、全景之类的在线创意服务，客户 A 定制的小程序允许用户上传头像，有恶意用户通过调用上传接口（接口允许 svg/xml ），然后 xml 被存储到了 bucket 中，接口返回了 url ，这个 url 就是上面提到的。

然后他们把这个 domain.com/xxx.xml 当成链接，引导别人访问，如上截图，会带上一些参数，再由内部的脚本解析参数，跳转到其他的页面。

客户 B 也和我们有合作，然后就是这些文件被识别到了，所在的主域名被封禁了，我们排查问题才发现这些 xml 的问题。。。。