网宿作死还是被黑?

2016-04-18 17:12:33 +08:00
 alonga

观察到一个劫持,导致网站功能无法使用,但目前不知道他要干嘛,

因为目前他只是劫持插入空白代码,没有放广告,也没有放马。

(无安全措施请勿访问) http://8.525cm.com/v2/v.php?id=105 (无安全措施请勿访问)

从来没发现过这种单一大规模的劫持,除了被黑,很少有人能控制这么多省运营商。

不排除运营商,但我看阿里云都被劫持了就觉得蹊跷。

劫持后的代码:

正常代码:

问题网宿 CDN 节点:(他是随机劫持,有些可能漏网)

安徽合肥移动 浙江温州移动 山东移动 北京移动

福建福州电信

河北廊坊联通 山西晋城联通 山西晋中联通 北京联通

被劫持的用户端线路:(他是随机劫持,有些可能漏网)

福建移动 重庆移动 海南移动 陕西移动 上海移动 江苏移动 广西移动 河南移动 四川移动 江西移动 内蒙古移动 山东移动

河北联通 天津联通 山西联通 山东联通 北京联通 辽宁联通 内蒙古联通

广西电信

武汉教育网

最关键的是阿里云 北京线路居然被劫持!这个除了 CDN 问题,或北京联通给阿里云的线路不干净,不然没法解释了。

这个数据跟我以前统计的一些很类似,比如这次发现的广西电信是电信劫持最严重的一个省份,联通那几个省份平时也属于最不干净的。不排除一个人控制了这些省份运营商的设备,比如北京移动、江苏移动就是一个家伙在搞。再次说明他是高几率随机劫持,十有七八。这个只有漏网,没有多的。

14965 次点击
所在节点    云计算
33 条回复
yexm0
2016-04-18 17:45:49 +08:00
看到教育网都中奖那就可以排除掉用户端运营商的问题了。
alonga
2016-04-18 18:02:45 +08:00
@yexm0 是啊,这么多运营商都被搞,很难觉得是谁能控制这么多运营商,数据抓包也不像运营商做的,当然数据包可以伪造。
HTTPS 下是没问题的,说明服务器没问题。
目前在网上找到关于 525cm 劫持都是跟网宿有关,有七牛,但是七牛用的就是网宿。

感觉是网宿附近的某个地方被某些人控制了,跟豆瓣被搞很像,但豆瓣那次是有人控制一个电信通机房线路而已。网宿的线路很多啊。
tSQghkfhTtQt9mtd
2016-04-18 18:09:23 +08:00
楼主 1000 万准备好了吗?
zonghua
2016-04-18 18:11:11 +08:00
没有一千万我们是不敢发帖的
alonga
2016-04-18 18:18:44 +08:00
@liwanglin12
@zonghua

1000 万游戏币可以吗?
jasontse
2016-04-18 18:22:11 +08:00
可能是 CDN 回源的链路被运营商劫持了,参考 Github 被 DDoS 的事情。
newworld
2016-04-18 18:24:15 +08:00
一 google 到处都是 好多 楼主有结果了 记得艾特我!谢谢
KomeijiSatori
2016-04-18 18:24:31 +08:00
楼主你的一千万准备好了吗?
xiaoban7
2016-04-18 18:40:29 +08:00
の。。(⊙o⊙)…
phttc
2016-04-18 18:56:01 +08:00
一千万是什么梗?
huobazi
2016-04-18 19:02:35 +08:00
敢提 马云云, 1000 万啊
alonga
2016-04-18 19:02:47 +08:00
@jasontse 这种可能性最高,一个省出问题影响全国,原理是一个。

@newworld 这个劫持覆盖规模非常大,但没有一个找到根源的。
answeryou
2016-04-18 19:10:15 +08:00
LZ 估计是有钱人, 1000W 已准备好了
huobazi
2016-04-18 19:17:23 +08:00
他的代码没考虑 https ,连这点血都不出哈。
alonga
2016-04-18 19:26:56 +08:00
@huobazi
@answeryou
哪敢得罪马首富,夸他家阿里云干净啊,如果阿里云都出问题,说明运营商问题的可能性不高而已。
@huobazi
其实这段 JS 苏宁有 HTTPS ,可是调用这段 JS 的页面没有 HTTPS 。
苏宁在 CDN 节点很多有泛域名 ssl 证书,没启用。
突然想起来,苏宁也是马首富家的,哎呦。
1000 万游戏币好不好啊?
jasontse
2016-04-18 19:36:05 +08:00
@alonga 外人查找根源很困难,因为问题是有可能出现在网宿中间源上,只能联系网宿查找原因了 @weisdong
alonga
2016-04-18 19:40:59 +08:00
@jasontse 刚才看这篇博客百思不得其解应该是这个问题了。
http://m.blog.csdn.net/article/details?id=51103104
他七牛给用户端的是 HTTPS ,还被劫持,我就纳闷 HTTPS 怎么会被劫持呢。
现在应该是原站被劫持了,或者 CDN 分发的问题吧。
估计问题在网宿那边。
@weisdong
huobazi
2016-04-18 19:44:34 +08:00
@alonga 被劫持者有 https ,可劫持者自己的 ****v.php?id=105 那个没有 https 浏览器因安全策略加载会失败,所以这个手法好像不是很高明啊
KenGe
2016-04-19 00:49:15 +08:00
网宿的快出现
pine
2016-04-19 09:38:38 +08:00
我觉得这个是是本地运营商的问题,原因是不管什么线路,到你用的电脑只有一个线路,而网站是各大网站都有,如果是是网站或者是网宿问题,早就闹开了,但是本地运营商劫持你就呵呵了,大不了给你一个人开个免劫持。
我遇到过,移动的,新浪搜狐网易都有一样的代码,而代码用 js 嵌套的很深,目的只有一个,卖流量,看似有几十万人访问的网站呵呵

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/272022

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX