2019-11-28 周五 10:58
电话突然响起。
我瞟了一眼手机屏幕,一个不太寻常的号码标记映入眼帘————腾讯云服务。
没事腾讯云给我打电话干啥? 莫非是学阿里云搞企业云服务的推销? 带着疑问我还是接起了电话。
“喂您好……喂?”
对面一直没有声音,这是啥情况?
文中信息均经过处理
带着疑问我挂断了电话。不等我进行思考,电话又响了,还是一样的号码。
没通还打了一遍,估计不是推销了。我马上接起了电话。
“喂您好”
“您好,请问是xx么”
“我是”
“我们是腾讯云备案组,这里看到您备案的 www.haha.comm 无法访问,hehe.comm 的内容可以进行评论,和备案主体性质不符,这些需要进行整改。具体整改信息我们会发送到您的邮箱xxxxxxx。请问这个邮箱可以收到邮件么。”
“可以”
“好的。我会马上发送邮件。下周一我们会再次核查,请尽快进行整改。届时如果还有问题会被取消网站接入和关闭服务器。”
“好的,我知道了。谢谢”
“再见”
“再见”
居然是腾讯云的备案检查,而且还是有问题。我这备案这么多年了咋就有问题了呢?
2019-11-28 周四 11:03
我打开了邮箱。检查了一下收件箱,没有来自腾讯云域名的新邮件。习惯性的打开垃圾箱,一封来自腾讯云域名的邮件赫然在列。
PS: 看了一下被归为垃圾邮件原因,是因为发送的邮件没有使用任何安全措施,包括TLS加密和S/MIME验证。腾讯云的专业度还需要加强啊
我打开邮件,看向了需要整改的内容列表:
核查结果 | 不通过原因分类 | |
---|---|---|
匿ICP备88888888号 | — | — |
匿ICP备88888888号-2 | 未通过 | • 网站无法访问 |
匿ICP备88888888号-1 | 未通过 | • 网站解析IP非腾讯云 • 网站内容和主体性质不符 |
我马上试着用浏览器了下备案所对应的 www.haha.comm 域名,的确有一个无法访问。然后另外一个域名的 www.hehe.comm 完全是可以访问的,也是符合备案说明的。但腾讯云的核查人员说是网站内容和主体性质不符,这就有点奇怪了。我明明把www开头的域名解析到完全符合备案信息的页面,怎么就出现网站内容与主体内容不符的问题呢。我回忆起电话中腾讯云的工作人员说到可以评论,那的确是访问到了我的 blog.hehe.comm 域名了,可是访问www怎么会跳转到blog去了呢? 还是说核查人员主动遍历了域名然后访问了blog子域名呢? 这怎么想都感觉不太可能,具体是咋回事我还是找时间看下吧。
我继续往下看,表格下面还特别圈红标注了修改时间为一天。我回想起电话里说下周一检查,看来实际还是多给了点时间,一个工作日修改,然后再检查。这样一来我还有足够的时间进行调整。
2019-11-30 周六 15:10
今天休息,正好用来确认下备案的问题。
首先看下 www.haha.comm 域名。首先解析下域名,得到了IP地址256.1.2.3
。我查了一下ssh的config文件,找到了对应的登录项。接下来我登录到服务器,用netstat看了下居然没有任何进程监听80和443。接下来我用systemctl status nginx
看了下nginx的运行状态,结果是没有启动。好吧。。。接下来就好办了,我启动了下nginx,用浏览器访问了下 www.haha.comm 可以访问,也自动跳转到了HTTPS,但是HTTPS证书已经过期。于是我按照这个方法进行了处理, https://www.haha.comm 恢复了正常。
接下来看看 www.hehe.comm 这个域名。我自己尝试了几次,发现访问 www.hehe.comm 的确进入了备案申报的页面。但是我试着中访问了下 hehe.comm ,发现301跳转到了 blog.hehe.comm 。看了一下nginx里面的配置,的确我做了rewrite,并且是301的跳转配置。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
server { listen 80; rewrite ^/(.*) https://blog.hehe.comm/$1 permanent; server_name hehe.comm } server { listen 443 ssl http2; rewrite ^/(.*) https://blog.hehe.comm/$1 permanent; server_name hehe.comm; gzip on; ssl on; ssl_certificate /etc/letsencrypt/live/hehe.comm/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hehe.comm/privkey.pem; } |
检查一下nginx日志,我也发现了打电话的那一天的确存在访问记录。
1 2 3 4 5 6 7 8 9 10 |
111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET // HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET // HTTP/2.0" 301 0 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:18 +0800] "GET / HTTP/2.0" 200 12466 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET // HTTP/2.0" 200 766 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:20 +0800] "GET /favicon.ico HTTP/2.0" 404 6 "https://blog.hehe.comm/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:21 +0800] "GET /favicon.ico HTTP/2.0" 404 182 "https://www.hehe.comm//" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.10 - - [28/Nov/2019:10:57:40 +0800] "GET /hehe/ HTTP/2.0" 200 13219 "https://blog.hehe.comm/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" |
可以通过nginx日志看到,核查人员应该是通过了 newtss.sng.com 这个内部平台来进行备案检查。而相关的页面就是/beian/check/checkWebsiteAllEntry
这个路径,并且核查的页面不仅仅包含www.hehe.comm
,还包含泛解析的hehe.comm
。所以因为我之前做了泛解析的跳转,于是备案检查就看到了blog的页面,也就不通过了。从这里也可以看出来,腾讯云的备案核查工作人员是用内部平台检查,然后有问题就打电话并发邮件来进行告知。
接下来就好办了。我把跳转到 blog.hehe.comm 直接修改为 www.hehe.comm ,这样一来无论是检查www.hehe.comm
还是hehe.comm
就都不存在备案与主体不符的问题了。另外一个解析IP非腾讯云的问题,调整解析增加hehe.comm
和www.hehe.comm
的指向腾讯云的A记录,并做好了相应服务器的nginx转发,算是解除了风险。
到这里我针对备案问题的处理算是告一段落。
2019-12-01 周日 13:15
就在我以为事情已经结束的时候,我突然想到一个点,就是浏览器会缓存301返回。于是如果明天核查人员还是用同一个浏览器打开hehe.comm
时,如果此时存在有效301缓存,马上会跳转到blog.hehe.comm
,接下来才是访问服务器的资源。这样一来又会造成与主体不符的问题,那应当如何处理呢?
让我好好想想。。。
2019-12-01 周日 13:20
左思右想,唯有在核查人员访问blog.hehe.comm
的时候才能下手。我推测这个核查人员不太可能换电脑和浏览器,而在这种情况下如果有缓存我们强制访问blog.hehe.comm
时跳转到www.hehe.comm
即可;如果换了电脑和浏览器,那么也不会有缓存,此时访问hehe.comm
也会正常跳转到www.hehe.comm
。接下来就是用什么信息来判断访问来自核查人员。这里我选了两个信息,一个是user-agent,这是个Chrome的历史版本 ,大部分人都不会用这个版本,误伤概率不大。另一个是来访的源IP地址,有一定概率还是来自同一个源IP进行访问。于是我查了下如何写nginx规则,并实现了这个条件判断和跳转。具体方法请看这里
下面就是等着明天过后,我们看看nginx日志有没有正常的访问记录了
2019-12-02 周一 18:20
差不多是时候看看结果了。怀着一丝忐忑的心情我登录了服务器,用源IP过滤了下请求日志,发现啥也没有。难道是他们没有来查? 我想了下不太可能,于是又用user-agent过滤了下,果然发现有信息。
1 2 3 4 5 |
111.206.145.12 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 111.206.145.12 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.1" 301 178 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 123.206.93.25 - - [02/Dec/2019:17:05:54 +0800] "GET / HTTP/1.0" 200 2033 "http://newtss.sng.com/beian/check/checkWebsiteAllEntry?entrys=www.hehe.comm;hehe.comm" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" 123.206.93.25 - - [02/Dec/2019:17:05:55 +0800] "GET /favicon.ico HTTP/1.0" 404 564 "https://www.sharpbai.com/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" "-" |
经过检查不存在这个user-agent和相关IP访问blog的日志。虽然确实出口变了,但是浏览器确实没有换。看起来是安全过关~
2019-12-04 周三 19:20
再次登录服务器,我把这几天的nginx日志再次过滤检查,确实没有发现任何备案核查的访问记录。另外也没有接到其他的电话与邮件告诉我网站被取消接入,访问也都正常。这里有一点和之前理解不同的是,之前好像没有要求过泛解析也要检查,我仔细查了备案所有的信息,所有地方都显示主业是www的域名。但是实际上腾讯云按照泛解析和www两个来检查,或许是为了以防万一。
到这里可以确认这次整改成功度过~