一个奇怪的劫持问题

从昨天开始，访问任何 http 的站点都有可能卡一下，持续 1 秒左右，然后显示正常页面，再次刷新就是秒开， 1 分钟左右又会出现一次。

我以为只是浏览器的问题，偶然卡的时候打开 F12 ，看到了下面的内容

当时感觉应该是运营商的劫持，但是发现 IP 有点眼熟， Google 了一下，细思恐极...

同城同运营商的朋友没有发现这个问题

请问我这是被盯上了？

emric

2015-09-14 18:09:21 +08:00

@PlanetCat 内嵌的这个脚本还有下面那个外联的, 想知道他能够获取到什么样的信息.

emric

2015-09-14 18:50:54 +08:00

@PlanetCat 这个内联的脚本发到 Gists, 我格式化看看.

emric

2015-09-14 22:33:42 +08:00

@PlanetCat 似乎在利用 sr.swf 做了些什么, 或许是 flash 的漏洞. 没 ss.js 没办法彻底的弄明白.

emric

2015-09-14 22:35:43 +08:00

口误.. 应该是没有 sr.swf 没办法彻底的弄明白.

emric

2015-09-14 22:47:35 +08:00

我去查了一下, swf 和 ss.js 应该是这个项目 (1 ) 的文件.
这个 js 的作用, 就是创建一个随机数 + 时间的 cookie 用图像 ping 的方式发送给服务器..
然而.. 这个是什么东西? 识别用户?

1. https://github.com/nfriedly/Javascript-Flash-Cookies

kslr

2015-09-14 23:23:48 +08:00

@emric 你说的更像是网站统计，它就是使用这种技术实现的。

Laforet

2015-09-15 08:03:06 +08:00

应该是你被某种应用层的东西劫持，然后这个东西的 C2 域名又正好被污染了。

PlanetCat

2015-09-15 14:17:08 +08:00

@emric 多谢。然而这个 IP 实在让人放心不下...也不知道在做什么.._(:з」∠)_

@Laforet 现在同城的朋友也遇到了，感觉是联通做的劫持，联通劫持不会弄一个被污染的域名吧...

Laforet

2015-09-15 15:49:42 +08:00

@PlanetCat

未必是联通做的，能查到域名的话或许能看出些什么。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/220641

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.