你以为在找91官网 · 其实在被引到假官网镜像 · 我整理了证据链

你以为在找91官网 · 其实在被引到假官网镜像 · 我整理了证据链

前言 很多人以为点开的是“官网”,其实被引导到了假官网或镜像站——页面几乎一模一样,但背后是不同的域名、不同的服务器、甚至可能带有流量劫持或钓鱼脚本。这里把我整理的一套可复制的证据链和处理流程贴出来,方便你核验、取证、以及向相关方举报。

先看现象 —— 你遇到的问题有哪些

  • 地址栏与你预期的域名不一致(或域名仅是细微变更)。
  • 页面内容、Logo、结构高度相似,但插入了额外的弹窗、广告或跳转脚本。
  • SSL 看起来正常(有锁),但证书信息与原官网不匹配。
  • 通过搜索结果访问后跳到另一个域名,或通过第三方链接(QQ群、贴吧、公众号)被引导过去。
  • 点击某些按钮后出现无法访问、强制下载或询问敏感信息的情况。

证据链应包含什么 一套完整的证据链应包含能说明“这是伪造/镜像站点且与原站不同”的多路信息,典型要素如下:

  • 被访问的完整 URL(含时间戳和来源,例如是从哪个搜索结果或哪个链接点入)。
  • 访问时的页面截图(含地址栏和页面内容)与 DOM 快照(或保存为完整网页 MHTML)。
  • 网络请求与重定向链(HTTP 状态码、Location、Referer 等)。
  • SSL/TLS 证书信息(颁发者、颁发给的 CN/SAN、有效期、并验证是否与原官网证书一致)。
  • 域名 WHOIS 信息与注册时间。
  • 站点服务器 IP、地理位置、托管商与反向 IP 查找(判定是否与官网同一网络)。
  • 第三方安全检测结果(Google Safe Browsing、VirusTotal、crt.sh 等)。
  • 页面中可疑资源(外链脚本、广告域、异域请求)的清单与请求目标。
  • 访问日志或浏览器网络面板导出(curl/wget 输出或浏览器 DevTools HAR 文件)。
  • 归档证据:使用 Web Archive 或本地备份保存页面。

第三部分:实操步骤(可直接复制的命令与方法) 1) 捕获访问证据

  • 抓图并保存页面:按下全屏截图并保存地址栏,或使用浏览器的“保存为完整网页(MHTML)”。
  • 用浏览器开发者工具(Network)记录网络请求,导出 HAR 文件。

2) 查看重定向链(命令行)

  • curl -I -L -v "完整URL" (输出包含每一步的 HTTP 状态码和 Location,便于证明跳转路径)

3) 检查 SSL/TLS 证书

  • openssl s_client -showcerts -connect 域名:443 或
  • 在浏览器点击锁形图标 -> 证书信息,记录“颁发给(CN/SAN)”与颁发机构,然后在 crt.sh 上搜索该证书。 比对原官网与可疑站的证书是否相同。

4) 查 WHOIS 与 DNS

  • whois 可疑域名(查看注册者、注册时间、到期时间、注册商)。
  • dig +short A 可疑域名(获取解析到的 IP),dig +trace 域名(检查 DNS 解析链)。
  • 通过 IP 查询托管商和地理位置(例如使用 ipinfo.io 或 https://www.abuseipdb.com/)。

5) 反查同一 IP 下其他域名

  • 在在线工具(SecurityTrails、Reverse IP Lookup)或命令行方式查询同一 IP 托管的其他域名,判断是否为大量仿冒站群托管。

6) 证书透明日志与域名历史

  • 在 crt.sh 搜索域名或证书指纹,查看是否存在异常或大量短期证书。
  • 在 Wayback Machine(web.archive.org)查看域名历史快照,判断是否是新近出现的镜像。

7) 用第三方安全服务交叉验证

  • 在 VirusTotal 提交 URL 做扫描(能返回是否有安全厂商标注)。
  • 使用 Google 安全浏览查询来确认是否被标记为恶意(也可通过 Google 报告页面提交);
  • 在搜索引擎中用 site:、intext: 等检索,查看索引差异与来源页面。

第四部分:如何组织证据(便于后来上报或发布) 把证据按时间线和类别整理,示例结构:

  • 简短摘要(谁、何时、如何被引导到可疑站)。
  • 访问记录(时间戳、来源 URL、截图、MHTML)。
  • 重定向链与控制台 HAR(附 curl 输出片段)。
  • 域名与证书比对(WHOIS 信息、证书截图或 openssl 输出)。
  • 服务器与托管信息(IP、托管商、地理位置、反向查找结果)。
  • 第三方检测结果(VirusTotal、crt.sh、Wayback)。
  • 结论段(根据以上证据说明为什么判断为假镜像)。

第五部分:如何处置与上报

  • 保存原始证据,不要删改时间戳文件;同时用 Web Archive/截图作为备份。
  • 向域名注册商或托管商发送 abuse 报告(abuse@xxx),附上证据与时间线。
  • 向搜索引擎提交举报:Google 有钓鱼/恶意站点举报入口(提交时附详细证据)。
  • 如果涉及侵权(品牌、版权),可向原网站所属方和其法务/公关团队提供证据链,请求申诉删除。
  • 若怀疑涉及更严重的欺诈或窃取隐私信息,可保留证据并咨询律师或向公安网络安全部门报案。 为避免触犯法律,采集证据应仅限于公开信息与你自己的访问记录;不要尝试未授权入侵或破坏对方服务器。

第六部分:常见伪造镜像的伎俩与识别技巧

  • 变体域名(近似字符替换、使用连字符、额外后缀或错别字)。
  • 利用 CDN 或反向代理隐藏真实服务器位置(通过证书和托管商信息做进一步判断)。
  • 使用备案/伪造的公司信息来蒙混过关(WHOIS 或注册商记录一般能揭穿)。
  • 通过 SEO 投毒或垃圾外链把流量导入镜像(检查大量短期外链来源可判定)。
  • 假证书或被动有效证书:有时镜像站也能拿到合法证书,但证书颁发对象与官网仍可不同。

结尾与检查清单(快速自检) 快速核验几个关键点,确认是否可能为假镜像:

  • 域名注册时间是否非常新?(是 -> 可疑)
  • 证书颁发对象与官网一致吗?(否 -> 可疑)
  • 搜索结果中源页面与访问地址是否一致?(不一致 -> 可疑)
  • 网站托管 IP 是否在与官网不同的网络或国家?(是 -> 可疑)
  • 页面加载是否包含大量外域脚本或广告域?(是 -> 可疑)