电信企业网 DNS 劫持 cnBeta.com 问题分析

2016-08-27 13:41:13 +08:00
 yryz

首先这件事 cnBeta.com 存在可疑点,后面有分析。

今天公司市场同事反映: http://www.cnbeta.com/articles/533005.htm 这个新闻,现在一打开会自动跳转到 360 导航。

想起了今年 4 月份在公司也遇到这类情况,做过一点分析,以为是偶发。过后就没怎么关注(用网页上 cnBeta.com 比较少)。

涉及测试数据表、截图,详情看这里https://yryz.net/post/isp-dns-hijack-cnbeta.html

在公司电信企业网会被电信存在DNS 劫持的情况(注意:无论你用的是不是电信的 DNS),这个先不说,但其中有一点搞不明白, cnBeta.com 为什么要包含一段不能被解析,但看起来又极像 Google 广告的 iframe src="http://static.googles.com/adserver/adlogger_tracker.php"

有人清楚这是什么情况吗

5672 次点击
所在节点    DNS
5 条回复
xingo
2016-08-28 09:20:04 +08:00
cnbeta 这边不是 dns 劫持吧,这是 tcp 劫持嵌入了脚本使前端跳转,然后 dns 的话电信的网家庭的默认也会劫持,这个 dns 应该是可以投诉的(如果自行改 dns 也不行的话)

包含 google 广告这个,我怀疑是本来这边要自己也嵌入个广告,然后现在这个页面改成了跳转逻辑,所以以前的广告部分忘记删除了?我最近是发现自己的家用宽带已经在广告白名单了,然后还是会被嵌入广告,嵌入的广告是 google 的那种,隐蔽的不行,让你以为是电信本身的广告,然后在看源码的时候发现还嫁祸给中国移动。。。

劫持的那种网站反而是那种技术型的,而不是以前那种京东啊一号店这样的
https://ooo.0o0.ooo/2016/08/28/57c23c1b71311.png
eirk2004
2016-08-28 19:26:49 +08:00
@xingo 问题也有可能出在 CDN 机房
yryz
2016-08-29 14:42:19 +08:00
@xingo googles.com 不是 Google 的,至于是不是 TCP 劫持就不清楚了,我测试多个地方都一样,怀疑源服务器上就是包含这段代码。这个只有 cnBeta 那边人才能确认。
yryz
2016-08-29 14:43:55 +08:00
@eirk2004 不太可能全国多个节点都被劫持吧,利用 CDN 检测的服务测试过全国多个运营商、地区,响应内容都一样
sxm
2016-08-29 15:19:42 +08:00
我 5 月份用手机浏览 cnbeta 就发现这个问题,表现形式就是文章页面跳转到软色情页面,然后下载 apk 。我在电脑上查看了下文章页面源代码,发现了是个隐藏 iframe 加载 http://static.googles.com/adserver/adlogger_tracker.php 这个页面引起了,查看广告文件发现是针对移动设备来跳转的,而且不仔细看还以为是谷歌的广告,实际是个假冒。后续查询和 googles.cn 这个站都是一个厦门公司所有。后来发了封 Email 给 cnbeta 向他提了这个问题,可惜到现在那个页面还是有这段隐藏广告 iframe

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/302123

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX