@alonga 好吧 还好 我这里没有劫持

现在各种劫持很混乱。我用铁通访问某网站出现劫持（广告），然后我远程到阿里云的深圳节点再访问也出现同样的劫持，而我根本不在广东，也就是说，同样的劫持出现在了不同的省、不同的运营商。我一查广告其中一个 IP ，来源居然是北京鹏博士。

@huobazi
根据那个博客的内容，应该类似豆瓣被劫持的那次，网站机房或者 CDN 机房附近线路被劫持，而不是用户端。

@pine
这次 525cm 劫持目前发现的都是使用网宿的网站。

@newworld 我这里现在也没有劫持了。

今天我再次测试一边，只有极少数省份运营商有劫持了。
其中发现天津联通有劫持。出现 http://120.132.57.41/pjk/pag/ys.php ，这个是天津联通运营商搞的鬼。
还有就是安徽电信对应的江西南昌电信 CDN 有劫持。
北京小 ISP 有劫持。
内蒙古移动访问上海电信 CDN 有劫持。
安徽电信、天津联通的劫持不同。
内蒙古移动、北京小 ISP 跟昨天一样。所以可能是这里扩散的劫持。

@lxy 很多劫持自身也是在北京的，经常使用北京的多线机房，鹏博士电信通类似的 BGP 用的比较多吧，但要看具体的案例。

另外，发现教育网访问天津联通 CDN 出现的劫持相同。
移动线路相同的劫持目前只发生在内蒙古移动访问电信 CDN （这个可能用了 NAT 被感染，走别的运营商线路）
天津联通访问天津联通 CDN 有劫持。

应该是天津联通作死（他确实在作死，即使这个 525cm 不是他，他也在劫持），或者有人控制苏宁、网宿、天津联通之间的线路，影响其它 CDN 节点。
HOSTS
60.28.160.62 passport.suning.com
访问： http://passport.suning.com/ids/js/passport.js

另外下午闪现的一个劫持，苏宁自己肯定知道是谁，因为那个劫持者是骗苏宁钱的，利益目的太明确了。

@alonga 哎 这些人真是胆儿肥 为了钱 不要不要的

楼主图片 都不显示了 不过 最近联通 貌似全国 都开始劫持了。。
抓包显示 被劫持的都有 图片 JS 下载等。。会导致 全网都失效
不单是 302 劫持到联通数据中心 还有 DNS 错误 劫持 比如 你访问不存在的域名 也进行劫持
现在知道是这俩段。。

120.52.73.3

120.52.73.8

120.52.73.53

120.52.72.56

GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl HTTP/1.1
Cache-Control: max-age = 900
Accept: */*
If-Modified-Since: Fri, 22 Jan 2016 06:00:36 GMT
If-None-Match: "39a87136da54d11:0"
User-Agent: Microsoft-CryptoAPI/6.1
Connection: Keep-Alive
Host: crl.microsoft.com


HTTP/1.0 302 Found
Server: HRS/1.4.2
Date: Sat, 09 Aug 2016 01:55:02 GMT
Content-Length: 0
Content-Type: text/html
Connection: close
Cache-Control: no-cache
Location: http://120.52.73.53/crl.microsoft.com/pki/crl/products/microsoftrootcert.crl

对了 这条抓包是 北京联通。。。 就是这么劫持的。。还有一个坏消息，投诉到工信部 联通也会照样的霸气回答你
无法解决。。。就这么劫持。。说 ISP 缓存数据是合法的。。

@alonga 我跟天津联通投诉无果，到工信部投诉，最后联通的客服还是那吊样，无语了，各种劫持，我这 b 站脚本被劫持， hosts 加了一条另一个 IP ，就没事了

楼主 一千万准备好了吗？

@jasontse @alonga @KenGe 感谢几位还记得 @weisdong ，那个号被封掉了，（我理解的是这样）当时注册账号显示不存在，@Livid 有没有办法恢复的，给大神 gui 了。
关于你们发布的问题，我一开始就看到了，我已经反馈给后台同事了，目前并未有客户大面积反馈。 @Livid ，帮回复 weisdong 的账号吧，谢谢。

@505262955 Google 下：（！无安全措施请勿直接访问） 8.525cm.com （！无安全措施请勿直接访问）还是有不少的这个情况的。
都是网宿 CDN ，或者七牛这类使用网宿 CDN 的网站。

应该不是原站到网宿之间的问题，如果是那样全部节点劫持情况都一样，但不清楚网宿的架构，分发的时候是原站到节点，还是原站到网宿再到节点，如果是网站到网宿，再由网宿分发到节点，肯定不是原站到网宿之间的问题。

联通线路劫持，移动前几天在晚上有劫持，但没早些时候的全部移动节点劫持了。
他这个 525cm 目前没有放广告、木马，所以普通用户根本无法察觉，只有些开发者发现 JS 代码异常。
我查到的情况是这个人以前是做黑产的，很像要伺机而动放木马。

电信劫持也开始了，电信主要是以广告为主，不清楚是不是一个人，南方电信感觉是运营商侧可能性比较大。
南方电信主要是被劫持添加了：（！无安全措施请勿直接访问） http://a6.googletakes.com:7777/js/c.js （！无安全措施请勿直接访问）

你可以试试这几个节点 IP 绑定到 HOSTS ，再访问： http://passport.suning.com/ids/js/passport.js
221.193.246.109 passport.suning.com
60.28.160.62 passport.suning.com
刚刚测试别的地区网络，还是有大规模的劫持。（不是本机本网络，是远程测试）

白天上午很少有节点被劫持，到了晚上最频繁。
当然不排除是运营商侧有问题。
但这么多地区的运营商有问题，骨干网的可能性比较低，如果是骨干网就不会只出现使用 CDN 的客户上。网宿的机房线路网络被劫持影响其他 CDN 节点可能性较大，以前发生过豆瓣所在的机房线路被劫持。感觉类似。

或者网宿个别客户账户有问题？之前在 Google 发现的一个被劫持的，现在通过全国的网络测试，只有广西玉林电信访问福建省福州市电信节点有劫持，这个应该是广西电信运营商的问题。
http://blog.csdn.net/zjkyz8/article/details/51103104
http://dn-tomatotown2application.qbox.me/js/interaction/interaction.1.0.1.js

目前苏宁这个 JS 被劫持的节点还是非常多的。

@alonga
@iKirby
两位是否也是在天津本地？我在天津河北， 3 月 21 日就发现这个劫持，当时就投诉工信部了，投诉详情可以参考我的博客（ http://blog.sina.com.cn/s/blog_573fed980102wa6a.html ）
现在联通的投诉依然没有停止，到目前为止联通每周大概和我联系两次左右跟进进度，最新的情况是网宿的服务器提供商北京快云已经联系我了， 60.28.160.3X~62 这段 IP 应该都是他的
如果可能的话，我希望咱们能够紧密的沟通共享信息，我争取用足够的证据要求联通去处理问题。