V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
b821025551b
V2EX  ›  分享发现

你以为每一次劫持都是运营商干的么?不,这次更像是内鬼, 58 同城。

  •  1
     
  •   b821025551b · 2020-06-08 14:23:16 +08:00 · 2399 次点击
    这是一个创建于 1659 天前的主题,其中的信息可能已经有所发展或是发生改变。

    太长不看版: 疑似 track.58.com 里面包含一个脚本,里面用到了百度统计和 cnzz 统计,在统计脚本内包含广告下发脚本,导致用户在打开 58.com 的网页时跳出各种广告,甚至跳离 58.com ,并且存在为公众号刷阅读量的现象,下方为复现视频。 https://youtu.be/Wn3TqE5_zno

    吃瓜版: 生活所迫,想和基友合作搞点副业,所以在 58 同城上寻找店铺出租的信息,故事就这样开始了。

    我正躺在床上刷着超越妹妹站子的新图呢,基友丢给我几个 58 同城的链接,我很不情愿的点开来挨个看,点了几个就出现了这样的画面:

    https://tvax1.sinaimg.cn/large/82dfe143gy1gfku6ylcrqj20kj0ivq6j.jpg

    对,我一个大活人被误判成了机器人。我哪能受这种气呀,遂去向在 58 工作的基友反应情况,顺便送上一波嘲讽。然而,他已经离职一年多了:

    https://tvax1.sinaimg.cn/large/82dfe143gy1gfku5rqkvij20he0rjmzn.jpg

    汰!那就没办法了,只能往 V2 发了 :doge:

    本着对一切事物好奇的原则(其实就是爱吃瓜),我打算开始研究这个反爬策略,几分钟后解除了封禁,然而我发现每次打开 58 的页面后,有一定概率跳转到其它 URl,第一反应就是垃圾运营商,又 TM 开始了流量劫持,然而,仔细想一想,真的是这样么?

    2020 年了,https 早就应该普及了,同时我使用的是 iOS 设备,唯二信任的证书是用来抓包的 Charles 和 fiddler,正常情况下应该不存在中间人攻击,除非:

    1 、不完整 https 链,各业务跳转时出现了 http,被劫持; 2 、引用了非 https 资源,导致该资源被劫持; 3 、这玩意就是官方服务器下发的; 4 、其它可能,然而我这种菜鸡只能想到上面 3 个;

    为了证明我的想法,首先试了 WiFi 和 4G (清了缓存),均会出现跳转,然后翻出来一台吃灰的小米 8 屏幕指纹版(这个是我在小米 9 发布前几天买的,到手即亏好几百 5555555 ),同一 WiFi 复现,但是 4G (这个是联通的 4G,上面是电信 4G )下刷了几下没有复现,~~fxxk 电信!宽带那么贵还要劫持!~~

    咳咳,上面那句话收回,因为我在联通 4G 下再刷几次后,那种还是跳转出现了。。。。

    没有办法,为了对得起我那唯二信任的证书,开始抓包吧。

    https://tva4.sinaimg.cn/large/82dfe143gy1gfkuswep89j20r21bm7c9.jpg

    首先,广告是从这个 mobaders.com 最终下发的,d2 看起来是静默刷量,用户无感知的那种(怪不得好多网页打开后手机就开始发烫,原来是被拿来挖矿); d6 是跳转,跳转到 uri6.com 后开始跳转到最终落地页,就是上面复现视频中的。

    好,知道了这个 mobaders.com 后,一步步向上找:

    https://tvax2.sinaimg.cn/large/82dfe143gy1gfkuvxfdgqj215q134grv.jpg

    哇,这不是百度统计和 cnzz 统计么? 单从百度统计来找的话:

    https://tva1.sinaimg.cn/large/82dfe143gy1gfkuy18d21j215q134jxp.jpg https://tva4.sinaimg.cn/large/82dfe143gy1gfkuyofflqj215q134q71.jpg

    嗯,来自于 track.58.com ,整个链条都是 https,那么是不是有理由怀疑,广告下发的脚本就是官方的服务器发出来的呢?

    https://tva1.sinaimg.cn/large/82dfe143gy1gfkuzyai3yj20xy0kyjvd.jpg

    这个广告下发的域名,如果从注册那天开始算的话,3 年多了,58 这种体量的获利该有多少呢?

    当然,我更愿意相信这是内鬼干的,而不是 58 官方的创收行为:)

    好了,我继续去刷超越妹妹了~~

    6 条回复    2020-06-09 14:23:26 +08:00
    exocell
        1
    exocell  
       2020-06-08 17:42:19 +08:00
    公众号刷阅读量需要在微信客户端才有用,一般不会这么想不开吧。。。另外,需要量可找我。 - -
    id7368
        2
    id7368  
       2020-06-08 17:43:33 +08:00 via iPhone
    赌五毛官方干的不是内鬼。
    b821025551b
        3
    b821025551b  
    OP
       2020-06-08 19:28:27 +08:00
    @exocell #1
    不止,这一套下来的操作有很多,一堆广告刷点击,刷量的话直接这么做就行了,还有剪贴板红包口令,最后跳转那个页面目的也许是给公众号吸粉或者是软文也说不定。
    GundomRider
        4
    GundomRider  
       2020-06-08 19:35:50 +08:00
    @id7368 应该不是官方。58 都是腾讯的机房。
    sadfQED2
        5
    sadfQED2  
       2020-06-09 12:39:32 +08:00 via Android
    听你讲了这么老半天,我就想问一句,超越妹妹给了你多少好处费🐶🐶
    songjiaxin2008
        6
    songjiaxin2008  
       2020-06-09 14:23:26 +08:00
    石锤了 楼主是来给超越妹妹引流的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1073 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.