怎样看是不是被电信 http 劫持了？

2014-12-25 20:06:10 +08:00

mie

最近上京东或者国美都会在网址前面加上http://182.254.187.237:9609这个ip地址，例如打开京东就会跳转到http://182.254.187.237:9609/url/?url=http://union.click.jd.com/然后在跳转到京东打开国美最严重最少跳转7到8次。

一开始以为是浏览器拓展出了问题，全部禁用也还是会。换了DNS还是一样都会跳转到那个ip。就想会不会中毒了。换了台电脑同样的症状。虚拟机开网页也是一样。

F12里面发现打开这些网站都会有一个yxj.js 第二行写着182.254.187.237/js/fhw/nz

各种杀毒没结果。。使用SS代理再打开这些网站的话就不会跳转也没有这个JS。
求解答这是为什么。。。

7381 次点击

所在节点

问与答

15 条回复

xqsx43cxy

2014-12-25 20:07:44 +08:00

这个可能是使用了和GFW劫持DNS一样的手段，UDP抢答。试试用ChinaDNS把UDP DNS转成TCP DNS

JackWindows

2014-12-25 20:09:12 +08:00

看上去是电信员工所为？182.254.187.237是腾讯云的IP。

nealfeng

2014-12-25 20:15:57 +08:00

http是明文传输的，就是中途被改了呗

nealfeng

2014-12-25 20:15:57 +08:00

http是明文传输的，就是中途被改了呗

mie

2014-12-25 20:20:36 +08:00

@xqsx43cxy 可以解决这样是不是说明了是被电信劫持了？

iCharlesC

2014-12-25 20:26:06 +08:00

肯定是出问题，但也许应该先查一下电脑是否中木马。

mie

2014-12-25 20:30:51 +08:00

@iCharlesC 不可能2台电脑包括虚拟机都中了病毒吧

wwqgtxx

2014-12-25 21:06:42 +08:00

我这里的电信也是无差别的注入广告，所以果断执行了
iptables -I INPUT -s 61.191.47.29 -j DROP

Slienc7

2014-12-25 21:54:22 +08:00

明显http劫持，推广收广告费之类
工信部举报

zro

2014-12-25 23:51:24 +08:00

@wwqgtxx 这样做，会不会在劫持时出现“连接被重置”？

rwzsycwan

2014-12-26 00:01:16 +08:00

看了下我的先跳到 p.yiqifa.com 然後跳到 union.click.jd.com 最後再打開京東

wwqgtxx

2014-12-26 07:07:35 +08:00

@zro 少数会，刷新一下就行了

zro

2014-12-26 09:04:55 +08:00

@rwzsycwan @mie 所以我不从jd.com打开京东了，用“我的订单”（http://order.jd.com/center/list.action）来代替，貌似这样就不会跳转

rwzsycwan

2014-12-26 10:05:35 +08:00

@zro 这个打开后是https登陆应该会没问题

zro

2014-12-26 14:51:24 +08:00

@rwzsycwan 已经用了好几个月了，只遇到过一次那种透明广告，在页面点哪里都会弹出它的返利窗口，当时看了下URL，带test字眼，估计是拿来测试

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/156703

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.