现在江西电信 DNS 劫持真是越来越无底线

2016-06-12 17:49:42 +08:00
 sxm
对于电信 DNS 劫持我是见怪不怪了,但没想到的是居然这么没底线投涉黄,诱导,下载 apk 类广告。本来我也不用电信 DNS ,一直都用 4 个 8 ,但延迟太高了,所以除本机外家里路由器里设置的是江西电信 DNS 。把那些电信 push 广告 ip 屏蔽后也就没什么问题。

直到 6 月 1 日凌晨,睡前用手机 uc 再逛逛。输入熟悉的网址后居然弹出个低俗暗示,恶意广告页面,还弹出 apk 下载。一想莫不是输错,细看果然是输错网址了。到这一步了我想不会是被电信劫持了吧,果断又编了个错误域名访问“ fuck.youjxdx ”,又弹出相同的恶意页面。但半夜了还是觉得明天再在 PC 上测试下就知道了。

下午开机先设置 dns 为江西电信 dns ,然后在 chrome 里访问错误域名。返回的居然是个百度搜索导航类的页面,呵呵,“三观挺正的”。然后 chrome 内开启 mobile 调试,额。。。这页面结果好羞涩啊,还弹出 apk 下载, apk 的名字也有意思啊,什么“原 qvod.apk ”,“激情电影播放器”。。。本着追根溯源的原则,用 nslookup 看下了,域名错误的情况下, 202.101.224.69 和 202.101.226.68 这 2 个江西电信主辅 DNS 的返回结果是 61.131.208.211 或 61.131.208.210 。

我便又依次将 DNS 更改为 114 , google ,深圳,湖南电信 DNS 等测试了下,发现没有以上劫持问题。为了证明不是个人网络问题,在在线 DNS 查询页面查询了针对江西电信 DNS 的错误域名查询,返回结果一致,果然这事实是毋庸置疑的。

接着查看那个劫持后页面 html ,里面有 2 个 iframe 组成,一个为 58cv.com,另一个为隐藏的 iframe ,页面地址为 61.131.20.211/cs.html 。 58cv.com 这个页面在 pc 端为百度搜索导航类广告,在移动端为“哇哈”类似一个小段子消息页面。而那个隐藏 iframe 里表面上看是站长统计,细看 html ,发现里面有这 2 行广告 js :“ click.gutun.net/s.php?id=45 ”“ click.gutun.net/s.php?id=46 ”,访问后发现 document 输出为空,看样子是针对移动端设备的,开启移动模拟广告 js 代码就出来了。。


接下来就是去看 58cv 和电信是什么关系了,查看 whois 和 icp 备案得知归一家叫“北京麦酷信息技术有限公司”所有,查看公司网站,具体的公司地址联系全无,所做业务全是依托电信相关的。又搜索了下,发现该公司有一条在智联招聘上的招聘信息,公司地址出来了:“江西省南昌市高新二路高新创业大厦”。


至此江西电信 DNS 劫持错误域名到广告的流程已经清晰明了了,以下是投诉纪实。

接下来怎么办呢,如果我个人的话问题很好解决,不用你江西电信的 DNS 就是了。但这尼玛吃相太难看了,也不考虑考虑祖国的花朵就这样被你们的广告所腐蚀。。。想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光,手不由自主的打开电信 189 网站投诉页面,写下了了以上分析的简述。

电信 189 投诉效率还挺高的,当天晚上 18979177165 打来电话,说这是合作公司的业务,他会向对方反馈。第二天 10000 打来电话也是说向对方反映。可是过了两天我再测试了下发现问题依旧,果然主管人员觉悟不高,没有发现问题的严重性。我来到工信部网站投诉下,又过了两天,傍晚 01012300 发来短信说:您提交的材料已收悉,但是你名字没写全所以本次不受理,但将材料转交电信。

8 号 10000 打来电话说,我们这里测试没发现问题啊,手机访问只是会打开一个笑话网站(说明还是劫持了)不是什么色情,涉黄之类的恶意广告页面。然后问我是否需要让他们的工作人员过来测试下线路,我说要么我再测试下看看。下午发现恶意广告没了,想了想不对,怎么就没了呢,难道我“冤枉”他了。再次查看页面 html ,发现上文说的那个隐藏 iframe 的 cs.html 页面被替换为 statics.html 。查看源文件,果然 click.gutun.net/s.php?id=46 的广告 js 被删掉了,而且那个原 cs.html 也删除了。呵呵果然做贼心虚,既然这样就有测试下劫持问题,发现问题依旧,只是把那个恶意广告删了。

继续在 189 上投诉,傍晚接到一个一线装维人员的电话,问我的宽带有什么问题。顿时我对电信真是火冒三丈,投诉里都写的一清二楚的,你们的工程师应该知道的,现在推到装维人员这里来,和他们怎么说的清。既然这样,你就上门来看吧。过了会儿, 2 个装维人员过来了,给他们看 nslookup ,不看,一个说这是 ping 没用,哎果然和我预想的一样,这简直就是对牛弹琴。那就看最直接的,访问不存在网站,然后返回的是百度导航之类页面,让他们看。他们又在自带的笔记本上也试了下,说是有这个问题,然后他们就回去了。

第二天下午 10000 打来电话说问题的解答已下发到手机,我说好。挂了电话一看短信:“社区经理已上门检测用户线路正常,用户只要输错网址就会弹出百度页面,在其他电脑测试也是一样”,这是回复吗,我读书少你不要骗我。这尼玛是装维对上级反馈的信息好嘛,难道你的意思是大家都在吃屎,你就不要挑肥拣瘦了。

下午又到 http://61.129.250.80/workorder-web/189_menhu.jsp 电信集团投诉页面上投诉,然后今天下午由接到一个 10000 电话,对于恶意广告还是不承认,至于广告页面针对移动设备而现实哇哈的问题,说不对移动设备负责,只对电脑负责,巴拉巴拉了半个小时还是无果,真是鸡同鸭讲。。。

好吧今天写到这了,明天我再到工信部网站投诉下。
20661 次点击
所在节点    DNS
42 条回复
z416177937
2016-06-12 18:18:53 +08:00
给个大赞,就要这样,运营商现在太过了,垄断不干事,等国家放开这个,你还就去 si 吧。带宽会变大,价格会下降~
owt5008137
2016-06-12 18:43:45 +08:00
赞一个,这种劫持是要整治一下,不然太过分了
SoupNeverHot
2016-06-12 18:52:50 +08:00
我在路由器里设置的阿里 DNS 和腾讯 DNS 。
15 年底,在工信部投诉河北联通的 DNS 劫持。免了两年宽带费。
但是……如果路由器里不设置 DNS ,还是劫持。
157003892
2016-06-12 19:34:05 +08:00
垄断行业公司的强权,小宽带又太渣,只有默默地改 DNS 用
jasontse
2016-06-12 20:04:32 +08:00
江西电信有 4 组 DNS
202.101.224.68
202.101.224.69
202.101.226.68
202.101.226.69
其中 224 在南昌, 226 在九江,九江在江西电信建网初期也是个省级出口节点。
rocknjoekudo
2016-06-12 20:14:16 +08:00
现在真正意义上的 DNS 劫持已经很少了,直接针对非加密协议进行替换(某炮的雏形)。全国各地这种 ISP 级别的广告业务都是包给了关系户,所以某种意义上 ISP 对这些关系户的业务本身无法直接操作。现在内部的广告投放业务已经混乱到一定程度了,有的时候就算是找到宫信步也不一定 100%解决问题。
百度和阿里在流量大站上 https 的一个很重要原因就是为了维护自己的广告流量,要不时间长全是这些关系户的了。
当然了,现在还有针对 IDC 级别的流量劫持,到时候投诉 ISP 都没用。
aalska
2016-06-12 20:25:06 +08:00
@SoupNeverHot 免了两年。。。。
jimzhong
2016-06-12 20:27:00 +08:00
我之前也投诉过福建电信劫持 apk 下载的。也是把工单推给外线工,不承认有劫持。
fashioncj
2016-06-12 21:09:36 +08:00
然而并没有用,把确切的抓包信息发给移动工作人员,最后还是不承认劫持。。我也是醉了
Oi0Ydz26h9NkGCIz
2016-06-12 21:36:04 +08:00
想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光……
楼主是奥特曼转世。。。
是不是 http 劫持呢?
daolin
2016-06-12 21:47:49 +08:00
同江西电信 天天弹广告…无力吐槽
autocar23
2016-06-12 21:51:44 +08:00
支持肛运营商
marvinwilliam
2016-06-12 22:21:42 +08:00
好巧,杭州也是,在我们使用 https 之前,劫持后注入了那种广告...你懂的....有客户截图过来过...
richzhu
2016-06-13 00:04:09 +08:00
用百度的吧,暂时木有发现什么劫持
zhaojjxvi
2016-06-13 01:10:23 +08:00
端午回鹰潭岳父家过节,五一给配的电脑,问我网络怎么了,有时候半夜不关下载东西,会跳出本地招嫖的信息,哎我去。。。
mrhuiyu
2016-06-13 08:09:09 +08:00
@zhaojjxvi 哈哈哈哈哈哈
zhaojjxvi
2016-06-13 08:18:34 +08:00
@mrhuiyu 当时想分析分析这个页面到底什么情况的,妈的想想女婿在岳父家上招嫖网站的画面要是被人看到了,我以后还能不能回去了?
billwang
2016-06-13 08:22:24 +08:00
就需要这样认真的人,支持楼主。
icsoc
2016-06-13 08:51:06 +08:00
赞认真严肃对待生活的人
duluosheng
2016-06-13 09:13:58 +08:00
推荐楼主使用 Pcap_DNSProxy ,可以有效防止 dns 污染和劫持
https://github.com/chengr28/Pcap_DNSProxy/tree/Release

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/285169

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX