腾讯云备案检查整改二三事

2019-11-28 周五 10:58

电话突然响起。
我瞟了一眼手机屏幕，一个不太寻常的号码标记映入眼帘————腾讯云服务。
没事腾讯云给我打电话干啥? 莫非是学阿里云搞企业云服务的推销? 带着疑问我还是接起了电话。

“喂您好……喂?”

对面一直没有声音，这是啥情况?

文中信息均经过处理

带着疑问我挂断了电话。不等我进行思考，电话又响了，还是一样的号码。
没通还打了一遍，估计不是推销了。我马上接起了电话。

“喂您好”
“您好，请问是xx么”
“我是”
“我们是腾讯云备案组，这里看到您备案的 www.haha.comm 无法访问，hehe.comm 的内容可以进行评论，和备案主体性质不符，这些需要进行整改。具体整改信息我们会发送到您的邮箱xxxxxxx。请问这个邮箱可以收到邮件么。”
“可以”
“好的。我会马上发送邮件。下周一我们会再次核查，请尽快进行整改。届时如果还有问题会被取消网站接入和关闭服务器。”
“好的，我知道了。谢谢”
“再见”
“再见”

居然是腾讯云的备案检查，而且还是有问题。我这备案这么多年了咋就有问题了呢?

2019-11-28 周四 11:03

我打开了邮箱。检查了一下收件箱，没有来自腾讯云域名的新邮件。习惯性的打开垃圾箱，一封来自腾讯云域名的邮件赫然在列。

PS: 看了一下被归为垃圾邮件原因，是因为发送的邮件没有使用任何安全措施，包括TLS加密和S/MIME验证。腾讯云的专业度还需要加强啊

我打开邮件，看向了需要整改的内容列表:

	核查结果	不通过原因分类
匿ICP备88888888号	—	—
匿ICP备88888888号-2	未通过	• 网站无法访问
匿ICP备88888888号-1	未通过	• 网站解析IP非腾讯云 • 网站内容和主体性质不符

我马上试着用浏览器了下备案所对应的 www.haha.comm 域名，的确有一个无法访问。然后另外一个域名的 www.hehe.comm 完全是可以访问的，也是符合备案说明的。但腾讯云的核查人员说是网站内容和主体性质不符，这就有点奇怪了。我明明把www开头的域名解析到完全符合备案信息的页面，怎么就出现网站内容与主体内容不符的问题呢。我回忆起电话中腾讯云的工作人员说到可以评论，那的确是访问到了我的 blog.hehe.comm 域名了，可是访问www怎么会跳转到blog去了呢? 还是说核查人员主动遍历了域名然后访问了blog子域名呢? 这怎么想都感觉不太可能，具体是咋回事我还是找时间看下吧。

我继续往下看，表格下面还特别圈红标注了修改时间为一天。我回想起电话里说下周一检查，看来实际还是多给了点时间，一个工作日修改，然后再检查。这样一来我还有足够的时间进行调整。

2019-11-30 周六 15:10

今天休息，正好用来确认下备案的问题。

首先看下 www.haha.comm 域名。首先解析下域名，得到了IP地址256.1.2.3。我查了一下ssh的config文件，找到了对应的登录项。接下来我登录到服务器，用netstat看了下居然没有任何进程监听80和443。接下来我用systemctl status nginx看了下nginx的运行状态，结果是没有启动。好吧。。。接下来就好办了，我启动了下nginx，用浏览器访问了下 www.haha.comm 可以访问，也自动跳转到了HTTPS，但是HTTPS证书已经过期。于是我按照这个方法进行了处理， https://www.haha.comm 恢复了正常。

接下来看看 www.hehe.comm 这个域名。我自己尝试了几次，发现访问 www.hehe.comm 的确进入了备案申报的页面。但是我试着中访问了下 hehe.comm ，发现301跳转到了 blog.hehe.comm 。看了一下nginx里面的配置，的确我做了rewrite，并且是301的跳转配置。

server {
    listen 80;
    rewrite ^/(.*) https://blog.hehe.comm/$1 permanent;
    server_name hehe.comm
}

server {
    listen 443 ssl http2;
    rewrite ^/(.*) https://blog.hehe.comm/$1 permanent;
    server_name hehe.comm;
    gzip on;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/hehe.comm/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hehe.comm/privkey.pem;
}

server {

listen 80;

rewrite ^/(.*) https://blog.hehe.comm/$1 permanent;

server_name hehe.comm

}

server {

listen 443 ssl http2;

rewrite ^/(.*) https://blog.hehe.comm/$1 permanent;

server_name hehe.comm;

gzip on;

ssl on;

ssl_certificate /etc/letsencrypt/live/hehe.comm/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/hehe.comm/privkey.pem;

}

检查一下nginx日志，我也发现了打电话的那一天的确存在访问记录。

111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET // HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET // HTTP/2.0" 301 0 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET / HTTP/2.0" 200 12466 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET // HTTP/2.0" 200 766 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET /favicon.ico HTTP/2.0" 404 6 "https://blog.hehe.comm/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:21 +0800] "GET /favicon.ico HTTP/2.0" 404 182 "https://www.hehe.comm//" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.10 - - [28/Nov/2019:10:57:40 +0800] "GET /hehe/ HTTP/2.0" 200 13219 "https://blog.hehe.comm/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET // HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET // HTTP/2.0" 301 0 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET / HTTP/2.0" 200 12466 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET // HTTP/2.0" 200 766 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET /favicon.ico HTTP/2.0" 404 6 "https://blog.hehe.comm/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:21 +0800] "GET /favicon.ico HTTP/2.0" 404 182 "https://www.hehe.comm//" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.10 - - [28/Nov/2019:10:57:40 +0800] "GET /hehe/ HTTP/2.0" 200 13219 "https://blog.hehe.comm/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

可以通过nginx日志看到，核查人员应该是通过了 newtss.sng.com 这个内部平台来进行备案检查。而相关的页面就是/beian/check/checkWebsiteAllEntry这个路径，并且核查的页面不仅仅包含www.hehe.comm,还包含泛解析的hehe.comm。所以因为我之前做了泛解析的跳转，于是备案检查就看到了blog的页面，也就不通过了。从这里也可以看出来，腾讯云的备案核查工作人员是用内部平台检查，然后有问题就打电话并发邮件来进行告知。

接下来就好办了。我把跳转到 blog.hehe.comm 直接修改为 www.hehe.comm ，这样一来无论是检查www.hehe.comm还是hehe.comm就都不存在备案与主体不符的问题了。另外一个解析IP非腾讯云的问题，调整解析增加hehe.comm和www.hehe.comm的指向腾讯云的A记录，并做好了相应服务器的nginx转发，算是解除了风险。

到这里我针对备案问题的处理算是告一段落。

2019-12-01 周日 13:15

就在我以为事情已经结束的时候，我突然想到一个点，就是浏览器会缓存301返回。于是如果明天核查人员还是用同一个浏览器打开hehe.comm时，如果此时存在有效301缓存，马上会跳转到blog.hehe.comm，接下来才是访问服务器的资源。这样一来又会造成与主体不符的问题，那应当如何处理呢?

让我好好想想。。。

2019-12-01 周日 13:20

左思右想，唯有在核查人员访问blog.hehe.comm的时候才能下手。我推测这个核查人员不太可能换电脑和浏览器，而在这种情况下如果有缓存我们强制访问blog.hehe.comm时跳转到www.hehe.comm即可；如果换了电脑和浏览器，那么也不会有缓存，此时访问hehe.comm也会正常跳转到www.hehe.comm。接下来就是用什么信息来判断访问来自核查人员。这里我选了两个信息，一个是user-agent，这是个Chrome的历史版本，大部分人都不会用这个版本，误伤概率不大。另一个是来访的源IP地址，有一定概率还是来自同一个源IP进行访问。于是我查了下如何写nginx规则，并实现了这个条件判断和跳转。具体方法请看这里

下面就是等着明天过后，我们看看nginx日志有没有正常的访问记录了

2019-12-02 周一 18:20

差不多是时候看看结果了。怀着一丝忐忑的心情我登录了服务器，用源IP过滤了下请求日志，发现啥也没有。难道是他们没有来查? 我想了下不太可能，于是又用user-agent过滤了下，果然发现有信息。

111.206.145.12 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
111.206.145.12 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
123.206.93.25 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.0" 200 2033 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"
123.206.93.25 - - [02/Dec/2019:17:05:55 +0800] "GET /favicon.ico HTTP/1.0" 404 564 "https://www.sharpbai.com/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

111.206.145.12 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

123.206.93.25 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.0" 200 2033 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

123.206.93.25 - - [02/Dec/2019:17:05:55 +0800] "GET /favicon.ico HTTP/1.0" 404 564 "https://www.sharpbai.com/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-"

经过检查不存在这个user-agent和相关IP访问blog的日志。虽然确实出口变了，但是浏览器确实没有换。看起来是安全过关~

2019-12-04 周三 19:20

再次登录服务器，我把这几天的nginx日志再次过滤检查，确实没有发现任何备案核查的访问记录。另外也没有接到其他的电话与邮件告诉我网站被取消接入，访问也都正常。这里有一点和之前理解不同的是，之前好像没有要求过泛解析也要检查，我仔细查了备案所有的信息，所有地方都显示主业是www的域名。但是实际上腾讯云按照泛解析和www两个来检查，或许是为了以防万一。

到这里可以确认这次整改成功度过~