通过FOFA进行DeepSeek仿冒资产发现实战

概述

2025年1月，DeepSeek最新开源大模型R1一经公布便引发全球开发者热议，影响力不断扩大。根据similarweb数据显示，deepseek.com1月总访问量突破27700万。随着DeepSeek热度的连续攀升，网络安全问题也再次进入大众视野，成为公众讨论的热门话题。

根据友商报告：“仿冒DeepSeek的网站、钓鱼网站已经超过2千个”，这样的数据着实惊人，表明针对DeepSeek的仿冒网站已经形成规模化。实际情况果真如此吗？为了一探究竟，本文将利用FOFA网络空间资产测绘引擎对DeepSeek相关资产进行一次全面的资产测绘，通过对应用分布、仿冒特征等多个方面的分析，发现真实存在的仿冒网站和潜在网络安全威胁。

DeepSeek非官方相关资产情况

为了匹配所有的DeepSeek相关页面，我们使用 host=“deepseek” || title=“deepseek” 限定域名或title中包含“deepseek”的目标，结合type="subdomain"筛选所有服务（网站类）资产，构造语法如下:

(host="deepseek" || title="deepseek") && type="subdomain"

结果显示，当前DeepSeek相关页面全球总资产数量达到3099个，通过跟踪时间发现近期正在以每日过百的数量快速增加。

应用分布

从FOFA匹配的结果中，除了官方资产信息，相关的资产主要分布在6个类：本地搭建与客户端类906个，内容资讯类771个，域名注册商类232个，论坛类152个，虚拟货币相关类62个，仿冒与钓鱼网站类38个。

在本地部署应用中，Ollama正在成为AI本地部署的首选，其资产数量在全网达到了54000。由于很多用户并不是专业开发者，往往会忽视安全问题使用默认配置，例如Ollama在docker默认安装下缺少验证并开放端口到外网，导致大量服务在互联网上裸奔，Chat Nio大量资产可以使用默认管理账户root/chatnio123456直接登录等等。

如图，某近千用户的AI运营平台可以使用默认管理账户随意进入，价格设定、公告通知可被随意篡改，服务日志存在大量用户数据被泄露。默认配置问题正在成为当前DeepSeek本地部署与客户端类应用的首要威胁。

仿冒网站资产发现实战

在仿冒网站发现方面，FOFA作为一款强大的互联网资产搜索引擎，提供了丰富的工具和功能，能够帮助用户快速发现和分析仿冒网站。接下来，我们将探讨如何利用FOFA进行有效搜索，寻找到与DeepSeek相关的仿冒网站。

基于被仿冒网站寻找样本

仿冒网站一般会提取官网的html源代码，并在此基础上加上恶意诱导用户的链接或输入框进行钓鱼攻击。因此从被仿冒网站的角度提取特征是寻找仿冒网站样本的有效方法。

此次拓线目标为DeepSeek（全称杭州深度求索人工智能基础技术研究有限公司）。通过借助工信部的ICP备案管理系统我们得到DeepSeek的官方域名：deepseek.com。

仿冒网站，顾名思义，首先要仿，既然仿那么网站的内部信息就是其最有可能被模仿甚至直接使用的对象。通过目标网站我们可以提取出多维度信息。

LOGO

LOGO 是网站最醒目的标志性元素。如果一个仿冒网站的 LOGO 不够逼真，就如同画龙未点睛，难以以假乱真。因此，从 LOGO 入手进行分析，是识别仿冒网站的有效方法。

在目标站点使用