电信劫持 http 会话又升级了,不仅仅是弹出广告了。

2015-10-13 03:15:24 +08:00
 chinaglwo

访问非 https 的网站都有可能被劫持,随机的,特别是第一次访问站点特容易出现,反正我访问 sina 、 sohu 、 csdn 、 51cto 都遇到过,其他站点就更不用说了。

现象是:网页上某个 js 被重复访问,比如 http://js.sohu.com/library/jquery-1.7.1.min.js 在请求搜狐科技频道时被请求了一次,然后又会被请求第二次,变成 http://js.sohu.com/library/jquery-1.7.1.min.js?_vv=20080808 ,后面这个参数是固定的,然后紧跟着就请求 http://p.haolew.com:7777/pt/pt.php?src=p0007&t=%E7%A7%91%E6%8A%80%E9%A2%91%E9%81%93-%E6%90%9C%E7%8B%90&ci=3702359731

src=p0007 也是固定的, t=就是网页 title ,后面 ci=不知道是啥

我是广西电信宽带用户,看了下 p.haolew.com 的 ip 地址是解析到南宁电信。

由于用的是 chrome 浏览器,直接显示的是全红色页面“要访问的网站包含恶意软件

目前 p.haolew.com 上的攻击程序可能会试图在您的计算机上安装危险程序来窃取或删除您的信息(例如:照片、密码、通讯内容和信用卡信息)。”

点详细,会看到“ Google 安全浏览功能最近在 it.sohu.com 上检测到了恶意软件。平常非常安全的网站有时也会感染恶意软件。检测到的恶意内容来自于 p.haolew.com ,这是个出了名的恶意软件散布方。”

现在不像以前只是右下角弹出广告了。这样完全影响正常浏览网页的,刷 f5 都不一定有用;但是如果能正常显示页面,却不会有上面的请求地址出现。

还是 chrome 强大,能有提示,我试了其他几种浏览器,比如 ie 和 firefox 居然没有反应。

12117 次点击
所在节点    问与答
55 条回复
erevus
2015-10-13 18:01:33 +08:00
妈蛋挟持我家 CDN,已黑,已提交乌云
http://www.wooyun.org/bugs/wooyun-2010-0146501/trace/881b2bea8d4d3aa842e0be00426f360e
cxbig
2015-10-13 20:52:00 +08:00
@chinaglwo 在我看来投诉没有用,你喊贼抓贼?人家利益相关。
最好的办法就是发现了干掉域名,加载不了就不会造成更大破坏。
chinaglwo
2015-10-13 21:59:50 +08:00
@cxbig
我打算投诉到工信部试试。

现在晚上又开始被劫持了。
chinaglwo
2015-10-13 22:11:46 +08:00
发个图看看
chinaglwo
2015-10-13 22:20:07 +08:00
@cxbig
你说的方法没用

543400
2015-10-13 22:26:13 +08:00
再一次提现了我国强大的开发能力以及对技术的锲而不舍的追求精神
cxbig
2015-10-13 23:03:29 +08:00
@chinaglwo 修改 Hosts 之后你清理了 Chrome 的缓存了没有?
lanlanlan
2015-10-13 23:12:14 +08:00
浙江电信表示:就这玩意有啥新奇的 我们都玩了这个 2015 年了..

tcp 劫持 js 文件 然后重新引入这个 js 后面加个"?" 如果这个 JS 是页面关键 JS 直接就异常了 比如秒拍等站点的自动播放就靠 JS 实现的 被劫持后就 Goodbye 了...这个东西你 127 也只能屏蔽广告没法阻挡劫持导致的页面异常..

说说投诉的经历吧.

2014 年 11 月 开始出现 iframe 方式劫持 1W 投诉 各种路由器是不是有问题 电脑是不是中毒了等等等推脱 最后就推到外线(装宽带)的人 上门检查 最后不了了之.

2015 年 经历了 工信部工单投诉(结果被吃了 致电工信部说投诉工单没收到) 重复 2 次后 向对方索要投诉邮箱 邮件投诉...之后工信部讲投诉工单移交企业方(中国电信浙江分公司) 1W 号回电:我们没问题..
重新致电工信部 这个没解决为什么不跟进了 各种转接到这个工单的处理人那边 被告知:工信部只受理话费突然少了等方向的争议 对于宽带运营商劫持弹广告的暂时不在他们的受理范围之内 详情可以参见电信服务什么什么的条例(这个真的忘了 当时查看了下都是手机通讯相关的 没涉及到宽带方面) 然后说了一下 他们说这一块 ISP 宽带劫持的东西他们有提案什么的 但是还一直在讨论中等等等...于是让我找省通讯管理局投诉试试.

省通讯管理局受理并跟进 电信临时加白宽带账号 回复省通讯管理局:“经仔细核查电信并没有这个问题” 省通讯管理局回电告知处理结果...

之后过了一个星期 又出现广告劫持了 呵呵哒..

之后变成了循环投诉 劫持 -- 1W 号 你们老毛病又犯了 有完没完? -- 加白账号(期间加黑 区号+10000 明确告知省级单位来回复)

大概搞了一两个月 也算是真忍不住了 1W 号投诉之后 省单位回电说 已经屏蔽了等等 直接回复告诉他:“你们这套东西我都懂 但是你们这么放着玩 别逼我做个横幅啥的拉上朋友堵你们营业厅 反正我是干的出来这种事” 之后加白了 1~2 个月

再之后 间歇性出现劫持 直接 1W 号电话过去 投诉 “老毛病又犯了 弹广告了。。 IPxxx 域名 xxx ” 省单位回电后 就加白了...

(语文不好 多多见谅 QWQ)
chinaglwo
2015-10-13 23:29:07 +08:00
@lanlanlan
佩服。看来工信部也管不了。
我很想知道哪些人在玩,我估计客服、上门维护的人都是底层,确实根本就不知道。
chinaglwo
2015-10-13 23:33:44 +08:00
@lanlanlan

去年我的电信手机号被营业厅误操作销号,我也是一顿投诉,也投诉到工信部,大概 2 周才给我恢复过来。
honeycomb
2015-10-14 00:37:40 +08:00
@KexyBiscuit
可是 Chrome 也在沙盘里
只不过 Edge 的沙盘比较威猛,是 AppContainer 罢了
KexyBiscuit
2015-10-14 05:42:48 +08:00
@des 登录不用 HTTPS 都是耍流氓。
des
2015-10-14 08:12:36 +08:00
@KexyBiscuit 只有登录也是然饼卵,拿到 cookie 想干嘛干嘛。好多时候你也不会去手动加个 s ,况且还能还能给你跳到 http 呢。估计等全都 https 了,它们还能给你代理成 http 呢
des
2015-10-14 08:19:05 +08:00
@des 不要以为做不出来,你想框架你的网页和插 js 这种是也能做出来啊。无非就是成本大了很多,看能不能接受而已
lanlanlan
2015-10-14 09:14:24 +08:00
@chinaglwo 已知的都是省级单位搞的鬼..
手机号码被误销号这种他们运营商还是愿意处理的。。
<<<最后 有个比较有意思的 其他地区运营商劫持 他们直接打死他挂广告 JS 的服务器 以暴制暴未尝不好啊 hhh
erevus
2015-10-14 14:11:08 +08:00
为什么还没勇士上去清他数据库呢?
dolee
2015-10-15 11:18:32 +08:00
@chinaglwo 我也是广西电信的,这两天也发现了这个问题。

另外还发现这个只会再 chrome 中出现,火狐、 IE 都没有发现这个问题

表示很不理解,这是为什么呢?
dolee
2015-10-15 11:20:49 +08:00
@chinaglwo 在火狐 firebug 中查了一遍,没有发现这个请求。
chinaglwo
2015-10-18 13:02:15 +08:00
@dolee
是啊,我基本看网页都使用 chrome ,出现很频繁,打开几十个页面至少出现一两次。我用火狐、 IE 试过,打开几十个页面都不会出现,打开页面前我用 f12 观察,没发现 js 被劫持。

但是我也新安装了虚拟机,然后新装了 chrome ,没安装任何扩展和插件,也会被劫持,所以可以排除 chrome 的问题。
chinaglwo
2015-10-18 13:08:21 +08:00
@dolee
现在域名变了。
之前是 p.haolew.com
现在是 ns1.qwhls.net

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227555

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX