电信劫持 http 会话又升级了,不仅仅是弹出广告了。

2015-10-13 03:15:24 +08:00
 chinaglwo

访问非 https 的网站都有可能被劫持,随机的,特别是第一次访问站点特容易出现,反正我访问 sina 、 sohu 、 csdn 、 51cto 都遇到过,其他站点就更不用说了。

现象是:网页上某个 js 被重复访问,比如 http://js.sohu.com/library/jquery-1.7.1.min.js 在请求搜狐科技频道时被请求了一次,然后又会被请求第二次,变成 http://js.sohu.com/library/jquery-1.7.1.min.js?_vv=20080808 ,后面这个参数是固定的,然后紧跟着就请求 http://p.haolew.com:7777/pt/pt.php?src=p0007&t=%E7%A7%91%E6%8A%80%E9%A2%91%E9%81%93-%E6%90%9C%E7%8B%90&ci=3702359731

src=p0007 也是固定的, t=就是网页 title ,后面 ci=不知道是啥

我是广西电信宽带用户,看了下 p.haolew.com 的 ip 地址是解析到南宁电信。

由于用的是 chrome 浏览器,直接显示的是全红色页面“要访问的网站包含恶意软件

目前 p.haolew.com 上的攻击程序可能会试图在您的计算机上安装危险程序来窃取或删除您的信息(例如:照片、密码、通讯内容和信用卡信息)。”

点详细,会看到“ Google 安全浏览功能最近在 it.sohu.com 上检测到了恶意软件。平常非常安全的网站有时也会感染恶意软件。检测到的恶意内容来自于 p.haolew.com ,这是个出了名的恶意软件散布方。”

现在不像以前只是右下角弹出广告了。这样完全影响正常浏览网页的,刷 f5 都不一定有用;但是如果能正常显示页面,却不会有上面的请求地址出现。

还是 chrome 强大,能有提示,我试了其他几种浏览器,比如 ie 和 firefox 居然没有反应。

12265 次点击
所在节点    问与答
55 条回复
rwzsycwan
2015-10-13 03:47:59 +08:00
同广西电信,没出现
cxbig
2015-10-13 05:04:37 +08:00
定位到目标网址就好办,进 hosts 文件修改恶意域名指向本机。
如:
127.0.0.1 p.haolew.com
yyfearth
2015-10-13 05:58:02 +08:00
我怎么觉得是你的的 Chrome Extension 出问题了呢
KexyBiscuit
2015-10-13 06:01:07 +08:00
Microsoft Edge :啥?恶意网站?哦,都在沙盒里面呢。
des
2015-10-13 08:06:45 +08:00
@KexyBiscuit 然而密码已经被人偷走了
xuan880
2015-10-13 11:23:29 +08:00
火狐开启那个恶意网址功能也没有提示?他用的不也是谷歌数据库么。
eirk2004
2015-10-13 11:35:32 +08:00
有一套过滤设备,可以设置为访问指定 url 时替换内容。浏览器请求“ p.haolew.com:7777 ”,是因为你请求的 JS 文件的内容已经被替换了,因为文件下载可能比较快,这个设备会再请求一次保证源 JS 能下载成功
chinaglwo
2015-10-13 12:15:46 +08:00
@yyfearth
我已经把扩展全删了,而且我又在虚拟机里面安装了新系统,新装 chrome ,也出现相同问题。
chinaglwo
2015-10-13 12:16:28 +08:00
@xuan880
直接用火狐访问 http://p.haolew.com:7777/ 是有提示的
chinaglwo
2015-10-13 12:17:02 +08:00
chinaglwo
2015-10-13 12:20:53 +08:00
@cxbig
已经打 10000 号投诉了,电信网上投诉也发了,可电信说没查到,还说是我电脑问题或者浏览器问题。

看到很多人之前有类似情况,准备再等两天,如果电信不给解决,就投诉到工信部去。

像之前只是右下角有弹窗,至少我还能浏览网页,忍忍就算了。现在完全是影响浏览网页了。
chinaglwo
2015-10-13 12:25:54 +08:00
@eirk2004
是啊,我访问好多网站,都是 jquery 的 js 被替换。
eirk2004
2015-10-13 12:36:57 +08:00
@chinaglwo 除了找电信你没有任何办法的,上官网找在线客服,把抓包的截图发给他,告诉他已经获取了关键证据,如果不能解决就投诉工信部,电信就会督促承包商把劫持暂时关掉,当然过滤依旧存在。抓包截图要包含,劫持发生时的 ReTransmission 、根据“ follow tcp stream ”找到的劫持内容、伪造的数据包的 TTL 值,分两个图发给客服
kmahyyg
2015-10-13 12:50:05 +08:00
114dns 路过
ZavierXu
2015-10-13 13:09:31 +08:00
说的好像 Chrome 没有沙盒一样的
feuvan
2015-10-13 13:14:34 +08:00
全局走 vpn 的时代快来了。。
rwzsycwan
2015-10-13 15:13:22 +08:00
@eirk2004 找客服没用 都听不懂你在说什么
rwzsycwan
2015-10-13 15:28:42 +08:00
@chinaglwo 额 出现了
eirk2004
2015-10-13 16:32:07 +08:00
@rwzsycwan 我这是实战经验。投诉也要用一点技巧,毕竟客服都是外包的。

对于良心未泯的 ISP 打电话就行了,客服肯定知道有个推送系统,会帮你关掉;
其他 ISP ,首先你要用客服能明白的东西去描述你的问题,然后发送截图,告知你已掌握关键证据(这个证据非常重要),然后要求找工程师或者上级领导。等他们回电时,必须要有对方承认(或者默认)推送系统的相关对话,一般两次投诉就能解决问题。
以上未能解决,或者装傻不承认,凭你手中证据,去工信部投诉。 15 天未解决再次投诉。

以上经验仅限于电信、联通。如果对方来电,通话全程录音,言语逻辑清晰,态度坚决,不辱骂对方。
chinaglwo
2015-10-13 17:41:25 +08:00
@rwzsycwan
你这个还好,至少不是提示恶意网页。

我今天中午把光猫重启了,到现在还没出现问题。不知道是电信那边关掉了推送,还是说因为我一直在线,没变过 ip ,所以他们可以控制给我推送?

反正也说明不是我电脑的问题了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227555

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX