V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yu1u
V2EX  ›  分享发现

有没有人发现七牛云储存可能被劫持了

  •  
  •   yu1u · 2016-04-20 09:22:42 +08:00 via Android · 3747 次点击
    这是一个创建于 3138 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天偶然发现网站前台页面有一个叉 悬浮的,还以为是网站的模板的问题,代码审查发现一个框架代码,我立即查看网站是否被纂改,后来排除了网站的问题,又随即检查了本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持,再测试使用 https 访问网站前台,发现这个悬浮的叉还是存在,最后在排查网站 css 和 js 文件的时候,最终发现了。 放在七牛上的一个 js 出了问题,访问发现被植入了广告代码,登录七牛云储存管理平台,查看了修改时间,没有异常,下载了 js 文件到本地查看,发现也没有异常。但用七牛分配的二级域名访问 js 以及 https 访问查看都被劫持,最后怀疑七牛是否被劫持了
    28 条回复    2016-05-27 21:46:10 +08:00
    demoxu
        1
    demoxu  
       2016-04-20 09:25:59 +08:00
    这个是运营商干的事情吧,最近很火
    yu1u
        2
    yu1u  
    OP
       2016-04-20 09:26:38 +08:00 via Android
    为什么只看到一个悬浮的叉,后来发现广告页面被本地的软件拦截了。
    yu1u
        3
    yu1u  
    OP
       2016-04-20 09:28:26 +08:00 via Android
    @demoxu 七牛可能在某个 cdn 服务商被劫持了。
    demoxu
        4
    demoxu  
       2016-04-20 09:28:50 +08:00
    @yu1u 换个好点的广告拦截插件试试 历来广告和反广告一直在斗
    yu1u
        5
    yu1u  
    OP
       2016-04-20 09:30:47 +08:00 via Android
    @demoxu 归根结底要解决劫持的问题
    aaaron7
        6
    aaaron7  
       2016-04-20 09:37:24 +08:00
    七牛经常搞这种事情
    zangbob
        7
    zangbob  
       2016-04-20 09:42:17 +08:00
    此处要问一句:为毛不用又拍云。。。。
    BOYPT
        8
    BOYPT  
       2016-04-20 09:54:23 +08:00
    https 都劫持,那是七牛的回源 ISP 问题了。。。
    ty0716
        9
    ty0716  
       2016-04-20 10:38:32 +08:00
    加个 SRI hash 吧

    https://www.srihash.org/
    yeyeye
        10
    yeyeye  
       2016-04-20 11:01:42 +08:00 via Android
    解决不了 七牛要加速网站 就必须像普通用户那样访问 抓取资源 但是抓取过程中如果被运营商劫持 根本就没办法解决 除非放弃这次请求(如果有做 hash 标记可以分辨出被劫持了)

    或者原网站只允许 HTTPS 方式访问

    明白?
    yu1u
        11
    yu1u  
    OP
       2016-04-20 11:04:54 +08:00 via Android
    @ty0716 这个是什么梗
    yu1u
        12
    yu1u  
    OP
       2016-04-20 11:05:56 +08:00 via Android
    @yeyeye 已经把 js 放到本地服务器了 防不胜防
    asddsa
        13
    asddsa  
       2016-04-20 11:12:53 +08:00
    为什么说“本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持”?
    niuer
        14
    niuer  
       2016-04-20 11:33:55 +08:00
    @yu1u 能不能给个联系方式,让我们技术支持看下这个问题~
    rwifeng
        15
    rwifeng  
       2016-04-20 12:13:59 +08:00
    @yu1u 这个应该是运营商的劫持, 这边可否给下你的劫持外链, 我们推送下,然后排查下具体的愿意。
    zachgenius
        16
    zachgenius  
       2016-04-20 12:38:18 +08:00
    用他们的图床我们都出现好几次图片不显示,强制刷新几次才出来。。。给他们反映过几次,都是说给刷新一下 CDN ,全国各地用户都出现图片偶尔刷不出来。。。
    sakeven
        17
    sakeven  
       2016-04-20 12:50:27 +08:00
    我们这也有用户反映这个问题。
    czb
        18
    czb  
       2016-04-20 12:53:02 +08:00 via Android
    我们在海外访问也是被国内的缓存了
    VmuTargh
        19
    VmuTargh  
       2016-04-20 13:22:47 +08:00
    @yu1u 跨站资源 hash 不过不给加载,就这个意思
    kawaiiushio
        20
    kawaiiushio  
       2016-04-20 13:26:56 +08:00
    @zangbob 为毛要用又拍云?
    ewex
        21
    ewex  
       2016-04-20 13:43:46 +08:00
    墙裂推荐又拍云,自建 CDN 比骑牛二道贩子好多了。

    七牛绑定域名一周都没配置好,又拍 3 分钟就好了;七牛 HTTPS 费用相比又拍高很多。

    虽然我也在用七牛(也仅限存储,存储也是备份,不会回源),没有黑七牛的意思,他的存储做的还是相当不错的。
    yu1u
        22
    yu1u  
    OP
       2016-04-20 13:56:14 +08:00
    yu1u
        23
    yu1u  
    OP
       2016-04-20 13:58:07 +08:00 via Android
    @asddsa 这个还用说么 给你个眼神 自己体会
    asddsa
        24
    asddsa  
       2016-04-20 14:36:16 +08:00
    @yu1u 谁告诉你自定义 DNS 了就不会被运营商劫持?
    yu1u
        25
    yu1u  
    OP
       2016-04-20 16:47:00 +08:00 via Android
    @asddsa 我可没有这样说哦
    asddsa
        26
    asddsa  
       2016-04-20 22:05:08 +08:00 via iPhone
    @yu1u 又随即检查了本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持


    对,这句话是我说的,我眼瞎了不好意思。
    nocwat
        27
    nocwat  
       2016-05-26 22:08:16 +08:00 via Android
    @niuer 今天也发现有这个问题, https CDN 资源同样会被劫持,页面上有一个悬浮的叉,
    将 user agent 切换成 Android Chrome 然后刷新时更容易出现,
    页面被内嵌一个 iframe ,地址是: http://dbcpm.com/locate_1/jiwei_MBpt.html
    这样还会导致本来完好的 https 页面出现 mixed content 错误
    yu1u
        28
    yu1u  
    OP
       2016-05-27 21:46:10 +08:00
    @nocwat 关键的东西还是放到本地安全点 太恶心了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2766 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:49 · PVG 20:49 · LAX 04:49 · JFK 07:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.