CloudFlare IP 再次被 TCP 劫持

2019-08-03 23:50:21 +08:00
 Archeb
受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站

症状同两个月前的
https://www.v2ex.com/t/572057
https://www.v2ex.com/t/572031
12021 次点击
所在节点    宽带症候群
65 条回复
dot2017
2019-08-04 00:17:39 +08:00
哦吼 这就很*了,骨干网的内鬼么
yexm0
2019-08-04 00:23:04 +08:00
TCP: i.v2ex.co/6Ly78uDG.jpeg
ICMP: i.v2ex.co/p8WfYBwY.png
广东电信这是缺钱花了?
yexm0
2019-08-04 00:25:15 +08:00
@yexm0 fix:去掉广东
CernetBoom
2019-08-04 03:37:54 +08:00
@yexm0 不止电信,联通移动 连科技网都是这样
well666
2019-08-04 09:45:17 +08:00
mytsing520
2019-08-04 10:03:03 +08:00
上午 10 点,杭州电信测试已经恢复。
Peanut666
2019-08-04 10:24:34 +08:00
四川电信,劫持依然存在
mytsing520
2019-08-04 10:32:13 +08:00
上午 10 点 05,杭州电信测试恢复劫持。
lp10
2019-08-04 10:49:57 +08:00
2019-08-04 10:45 UTC+8
同 IP 无代理,mac Safari 访问正常,新 Edge 跳转菠菜

哈???
Windelight
2019-08-04 10:50:34 +08:00
10 点 12 分,河北联通、河北移动仍未恢复

另外有趣的是河北联通跳转到一个 0031001569 点 res 点 websd8 点 com 的网站,河北移动跳转到 40010009 点 echatu 点 com 的网站

前者安装包叫 com.game.ddz-v1.0.0.5.apk ,后者叫 cf0728_channel_9.apk

前者下载地址是
app-eslz3u 点 openinstall 点 io/install/c/eyJkIjp7InNwcmVhZGVyIjoiMDAzMTAwMTU2OSJ9LCJtIjoiZnFJcGZ4ZDNpajRBQUFGc1dtVDBLUnNVTnVLWXU2VTRuNlNVcUlhVm1WVkVYUFAxRlNUc1h4S1dlUEE4X0NIelFmSSJ9
后边的地址是 apk 点 wanlongcaifu 点 com/v60/cf0728_channel_9 点 apk
经过查看,后者下载地址竟然还特么带 https??

沃特玛现骗子还这么高级??
经过百度和必应查询,之前本以为就是附近的固安万隆财富广场,结果一查不是,百度和必应复合结果如下
1.某些 seo 查询网站留下的一堆无意义历史记录
包括 70dir 点 com,chinaz 点 com,都是搜索引擎对这些网站的历史记录所留下的缓存
2.在 21CN 门户聚投诉下面一个 id 为 CN1012987 的投诉,大致意思是有人被微信上的推销读博 app,然后被骗钱,重点来了,那个 app 叫超飞娱乐,地址是 40011126 点 wanlongcaifu 点 com,后者页面完全一致!!!
3.还有一个更大的包,就是在必应上查到了某不知名的网址导航提供了公司名 地址是 zibo 点 26595 点 com/daohang/967086.html 那个公司叫做 淄博晖博投资有限公司

好了,收集到了以上信息,当然那个网址导航的信息真实性可疑,但是也要从别的地方入手了

首先我赶快下载了一个 Chrome Mobile,把原网址换成 40011126 那个,然后加上 https,好了 get 到了 https 证书,非常遗憾这特么用的是 Let's Encrypt,假设他们要是能用 EV SSL 的话那我不就........
当然这个不存在了,下面就只能信一下那个网址导航了。
下面打开天眼查,输入该公司名称,真的查到了,法代叫做 于修强,该公司真的有一个备案叫做 淄博晖博投资有限公司万隆财富 的网站,地址同,备案号是 鲁 ICP 备 16020641 号,经工信部网站验证确定该备案主体-1 的备案号就是这个网站,然后直接打开就是最开始后者的页面
这个公司是 2015 年 11 月 12 日成立,备案是 2016 年 6 月 6 日


未完待续.............

(上述域名请自动补齐 http/https 协议头和点)
dahounet
2019-08-04 11:01:44 +08:00
有人在骨干网(或者是某墙)上面搞劫持?
jousca
2019-08-04 11:55:32 +08:00
四川移动刚才测试也是劫持依然存在
scnace
2019-08-04 12:00:55 +08:00
浙江电信没挂代理跳转到 https://40010009.echatu.com/
lzp7
2019-08-04 12:05:01 +08:00
山东移动稳定复现
lzp7
2019-08-04 12:06:49 +08:00
劫持地址和上面几楼不太一样
http://0031001569.gzxnlk.com/
jousca
2019-08-04 12:21:20 +08:00
@dahounet 灰色产业,在过滤设备上劫持某些非国内网站跳自己黑产上。内外勾结或者职务之便。知道对方和客户都无法投诉举证。
jousca
2019-08-04 12:22:15 +08:00
@lzp7 用 HTTPS 就到你这个,不用 HTTPS 就到 4001 开头那个。HTTPS 的时候浏览器会提示证书不可信
derekwei
2019-08-04 15:51:37 +08:00
投诉给电信就给我我回了句“我们工程师没有检查到类似问题”,还要我提供访问网站的网址。
loukky
2019-08-04 16:40:23 +08:00
BlitheHusky
2019-08-04 17:30:26 +08:00
江苏电信稳定复现。
一开始拿手机发现正常,再看看是走了代理。😂😂😂

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/588848

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX