百度站长平台自动推送工具代码被劫持...

2018-02-04 01:31:44 +08:00
 gcod

事件起因:

https://www.v2ex.com/t/428265


原本还以为网站是被又拍云给 QJ 啦,

后来尝试网站直接回源后还是存在广告,遂排除又拍云的嫌疑,

我又怀疑网站被挂马,毕竟全站 HTTPS,问题可能出现在自身

但是,经过对服务器日志,网站文件,数据库排查之后还是没有发现什么异常问题

后来看到原贴下面 V2 网友的推论之后,我甚至怀疑是不是 HTTPS 现在也不安全了, 搞不懂运营商到底是怎样给 HTTPS 站点插广告呢??

然后偶然看到了这个 https://www.qianduan.net/yun-ying-shang-jie-chi-https-oh-shit/

想到网站本身还有使用 cnzz 的统计,百度站长平台 链接自动推送,

排查之后,怀疑对象最后确定为百度站长平台的推送代码被劫持了

被上海联通劫持的 URL: https://zz.bdstatic.com/linksubmit/push.js

正常情况:

这样的话,只要有网站使用百度站长平台的自动提交功能,最后便都会被强行加入广告

网站 HTTPS 实则名存实亡,即使不是百度的锅,但百度也沦为帮凶一般的存在。

只能在这里吐槽下了,广告这种东西投诉运营商也只能治标不治本,最后的结果无非是用户自己看不到了,反正这种灰色项目不摆在明面上压根是没有人去管的。

尚不清楚其他省份运营商有没有类似情况,若指望百度修复?恐怕也到年后了,

实测,上海联通宽带,联通 4G 都有这种情况,你可以手动点开上述链接进行查看。

如果你网站也有引用百度的推送代码,奉劝暂时还是别用了...

7139 次点击
所在节点    全球工单系统
23 条回复
Hmily
2018-02-08 10:10:25 +08:00
gftfl
2018-02-08 17:25:40 +08:00
貌似现在解决了? 刚联通 4G 刷新,劫持代码不在了
siteplatformbidu
2018-02-11 19:10:40 +08:00
多谢报 case
@gcod 楼主现在还能复现吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/428289

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX