这是一个创建于 3464 天前的主题,其中的信息可能已经有所发展或是发生改变。
观察到一个劫持,导致网站功能无法使用,但目前不知道他要干嘛,
因为目前他只是劫持插入空白代码,没有放广告,也没有放马。
(无安全措施请勿访问) http://8.525cm.com/v2/v.php?id=105 (无安全措施请勿访问)
从来没发现过这种单一大规模的劫持,除了被黑,很少有人能控制这么多省运营商。
不排除运营商,但我看阿里云都被劫持了就觉得蹊跷。
劫持后的代码: 
正常代码: 
问题网宿 CDN 节点:(他是随机劫持,有些可能漏网)
安徽合肥移动 浙江温州移动 山东移动 北京移动
福建福州电信
河北廊坊联通 山西晋城联通 山西晋中联通 北京联通
被劫持的用户端线路:(他是随机劫持,有些可能漏网)
福建移动 重庆移动 海南移动 陕西移动 上海移动 江苏移动 广西移动 河南移动 四川移动 江西移动 内蒙古移动 山东移动
河北联通 天津联通 山西联通 山东联通 北京联通 辽宁联通 内蒙古联通
广西电信
武汉教育网
最关键的是阿里云 北京线路居然被劫持!这个除了 CDN 问题,或北京联通给阿里云的线路不干净,不然没法解释了。
这个数据跟我以前统计的一些很类似,比如这次发现的广西电信是电信劫持最严重的一个省份,联通那几个省份平时也属于最不干净的。不排除一个人控制了这些省份运营商的设备,比如北京移动、江苏移动就是一个家伙在搞。再次说明他是高几率随机劫持,十有七八。这个只有漏网,没有多的。
第 1 条附言 2016-04-18 18:51:23 +08:00
又发现用户端: 贵州移动、黑龙江移动
还发现用户端:海南电信
电信对应的 CDN 节点是:广东肇庆电信、广东深圳电信、福建福州电信
而且电信跟移动联通的劫持数据包是不一样的。
移动、联通的劫持数据包相同。
还发现用户端:海南电信
电信对应的 CDN 节点是:广东肇庆电信、广东深圳电信、福建福州电信
而且电信跟移动联通的劫持数据包是不一样的。
移动、联通的劫持数据包相同。
第 2 条附言 2016-04-18 19:07:21 +08:00
新增用户端:广东移动、河北电信
河北电信对应 CDN 节点:山东烟台电信
河北电信跟广西电信、海南电信数据包不一样
河北电信对应 CDN 节点:山东烟台电信
河北电信跟广西电信、海南电信数据包不一样
第 3 条附言 2016-04-18 19:10:42 +08:00
新增:广东电信对应广东肇庆电信 CDN
第 4 条附言 2016-04-19 12:35:43 +08:00
19 日只有零星省份运营商有劫持情况。
天津教育网访问天津联通有劫持,
天津联通访问天津联通 CDN 有劫持,
北京小 ISP 访问北京联通 CDN 有劫持,
内蒙古移动访问上海电信 CDN 有劫持,
上面四者出现与昨天相同劫持。
广东电信访问福建福州电信 CDN 观察到劫持。
安徽电信访问江西南昌电信 CDN 有察到劫持。
电信的劫持应该各自为政比较多。
天津教育网访问天津联通有劫持,
天津联通访问天津联通 CDN 有劫持,
北京小 ISP 访问北京联通 CDN 有劫持,
内蒙古移动访问上海电信 CDN 有劫持,
上面四者出现与昨天相同劫持。
广东电信访问福建福州电信 CDN 观察到劫持。
安徽电信访问江西南昌电信 CDN 有察到劫持。
电信的劫持应该各自为政比较多。
第 5 条附言 2016-04-19 18:12:58 +08:00
下午出现一次闪现劫持。
苏宁网站搜索的时候被劫持到一个
垃圾网站 (无安全措施请勿访问) http://www.bvxo.cn/ (无安全措施请勿访问)
再跳转回苏宁,加上了广告 ID 。
他的苏宁联盟 ID
用户 ID : userId=3133983
网站 ID : webSiteId=14482
苏宁网站搜索的时候被劫持到一个
垃圾网站 (无安全措施请勿访问) http://www.bvxo.cn/ (无安全措施请勿访问)
再跳转回苏宁,加上了广告 ID 。
他的苏宁联盟 ID
用户 ID : userId=3133983
网站 ID : webSiteId=14482
第 6 条附言 2016-04-19 19:10:11 +08:00
应该是天津联通作死(他确实在作死,即使这个 525cm 不是他,他也在劫持),或者有人控制苏宁、网宿、天津联通之间的线路,影响其它 CDN 节点。
HOSTS
60.28.160.62 passport.suning.com
访问: http://passport.suning.com/ids/js/passport.js
另外下午闪现的一个劫持,苏宁自己肯定知道是谁,因为那个劫持者是骗苏宁钱的,利益目的太明确了。
HOSTS
60.28.160.62 passport.suning.com
访问: http://passport.suning.com/ids/js/passport.js
另外下午闪现的一个劫持,苏宁自己肯定知道是谁,因为那个劫持者是骗苏宁钱的,利益目的太明确了。
 | 1 yexm0 2016-04-18 17:45:49 +08:00 via Android 看到教育网都中奖那就可以排除掉用户端运营商的问题了。 |
 | 2 alonga OP @yexm0 是啊,这么多运营商都被搞,很难觉得是谁能控制这么多运营商,数据抓包也不像运营商做的,当然数据包可以伪造。 HTTPS 下是没问题的,说明服务器没问题。 目前在网上找到关于 525cm 劫持都是跟网宿有关,有七牛,但是七牛用的就是网宿。 感觉是网宿附近的某个地方被某些人控制了,跟豆瓣被搞很像,但豆瓣那次是有人控制一个电信通机房线路而已。网宿的线路很多啊。 |
 | 3 tSQghkfhTtQt9mtd 2016-04-18 18:09:23 +08:00 via Android  2 楼主 1000 万准备好了吗? |
 | 4 zonghua 2016-04-18 18:11:11 +08:00 没有一千万我们是不敢发帖的 |
| 5 alonga OP |
 | 6 jasontse 2016-04-18 18:22:11 +08:00 via iPad 2 可能是 CDN 回源的链路被运营商劫持了,参考 Github 被 DDoS 的事情。 |
 | 7 newworld 2016-04-18 18:24:15 +08:00 一 google 到处都是 好多 楼主有结果了 记得艾特我!谢谢 |
 | 8 KomeijiSatori 2016-04-18 18:24:31 +08:00 楼主你的一千万准备好了吗? |
 | 9 xiaoban7 2016-04-18 18:40:29 +08:00 の。。(⊙o⊙)… |
 | 10 phttc 2016-04-18 18:56:01 +08:00 一千万是什么梗? |
 | 11 uobazi 2016-04-18 19:02:35 +08:00 敢提 马云云, 1000 万啊 |
| 12 alonga OP |
 | 13 answeryou 2016-04-18 19:10:15 +08:00 LZ 估计是有钱人, 1000W 已准备好了 |
| 14 huobazi 2016-04-18 19:17:23 +08:00 他的代码没考虑 https ,连这点血都不出哈。 |
| 15 alonga OP |
| 16 jasontse 2016-04-18 19:36:05 +08:00 via iPad |
| 17 alonga OP @jasontse 刚才看这篇博客百思不得其解应该是这个问题了。 http://m.blog.csdn.net/article/details?id=51103104 他七牛给用户端的是 HTTPS ,还被劫持,我就纳闷 HTTPS 怎么会被劫持呢。 现在应该是原站被劫持了,或者 CDN 分发的问题吧。 估计问题在网宿那边。 @weisdong |
| 18 huobazi 2016-04-18 19:44:34 +08:00 @alonga 被劫持者有 https ,可劫持者自己的 ****v.php?id=105 那个没有 https 浏览器因安全策略加载会失败,所以这个手法好像不是很高明啊 |
 | 19 KenGe 2016-04-19 00:49:15 +08:00 via Android 网宿的快出现 |
 | 20 pine 2016-04-19 09:38:38 +08:00 我觉得这个是是本地运营商的问题,原因是不管什么线路,到你用的电脑只有一个线路,而网站是各大网站都有,如果是是网站或者是网宿问题,早就闹开了,但是本地运营商劫持你就呵呵了,大不了给你一个人开个免劫持。 我遇到过,移动的,新浪搜狐网易都有一样的代码,而代码用 js 嵌套的很深,目的只有一个,卖流量,看似有几十万人访问的网站呵呵 |
 | 22 lxy 2016-04-19 10:40:02 +08:00 现在各种劫持很混乱。我用铁通访问某网站出现劫持(广告),然后我远程到阿里云的深圳节点再访问也出现同样的劫持,而我根本不在广东,也就是说,同样的劫持出现在了不同的省、不同的运营商。我一查广告其中一个 IP ,来源居然是北京鹏博士。 |
| 23 alonga OP @huobazi 根据那个博客的内容,应该类似豆瓣被劫持的那次,网站机房或者 CDN 机房附近线路被劫持,而不是用户端。 @pine 这次 525cm 劫持目前发现的都是使用网宿的网站。 @newworld 我这里现在也没有劫持了。 今天我再次测试一边,只有极少数省份运营商有劫持了。 其中发现天津联通有劫持。出现 http://120.132.57.41/pjk/pag/ys.php ,这个是天津联通运营商搞的鬼。 还有就是安徽电信对应的江西南昌电信 CDN 有劫持。 北京小 ISP 有劫持。 内蒙古移动访问上海电信 CDN 有劫持。 安徽电信、天津联通的劫持不同。 内蒙古移动、北京小 ISP 跟昨天一样。所以可能是这里扩散的劫持。 @lxy 很多劫持自身也是在北京的,经常使用北京的多线机房,鹏博士电信通类似的 BGP 用的比较多吧,但要看具体的案例。 |
| 24 alonga OP 另外,发现教育网访问天津联通 CDN 出现的劫持相同。 移动线路相同的劫持目前只发生在内蒙古移动访问电信 CDN (这个可能用了 NAT 被感染,走别的运营商线路) 天津联通访问天津联通 CDN 有劫持。 |
| 25 alonga OP 应该是天津联通作死(他确实在作死,即使这个 525cm 不是他,他也在劫持),或者有人控制苏宁、网宿、天津联通之间的线路,影响其它 CDN 节点。 HOSTS 60.28.160.62 passport.suning.com 访问: http://passport.suning.com/ids/js/passport.js 另外下午闪现的一个劫持,苏宁自己肯定知道是谁,因为那个劫持者是骗苏宁钱的,利益目的太明确了。 |
 | 27 hbq007 2016-04-20 11:06:33 +08:00 楼主图片 都不显示了 不过 最近联通 貌似全国 都开始劫持了。。 抓包显示 被劫持的都有 图片 JS 下载等。。会导致 全网都失效 不单是 302 劫持到联通数据中心 还有 DNS 错误 劫持 比如 你访问不存在的域名 也进行劫持 现在知道是这俩段。。 120.52.73.3 120.52.73.8 120.52.73.53 120.52.72.56 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl HTTP/1.1 Cache-Control: max-age = 900 Accept: */* If-Modified-Since: Fri, 22 Jan 2016 06:00:36 GMT If-None-Match: "39a87136da54d11:0" User-Agent: Microsoft-CryptoAPI/6.1 Connection: Keep-Alive Host: crl.microsoft.com HTTP/1.0 302 Found Server: HRS/1.4.2 Date: Sat, 09 Aug 2016 01:55:02 GMT Content-Length: 0 Content-Type: text/html Connection: close Cache-Control: no-cache Location: http://120.52.73.53/crl.microsoft.com/pki/crl/products/microsoftrootcert.crl |
| 28 hbq007 2016-04-20 11:08:38 +08:00 对了 这条抓包是 北京联通。。。 就是这么劫持的。。还有一个坏消息,投诉到工信部 联通也会照样的霸气回答你 无法解决。。。就这么劫持。。说 ISP 缓存数据是合法的。。 |
 | 29 iKirby 2016-04-20 13:45:59 +08:00 @alonga 我跟天津联通投诉无果,到工信部投诉,最后联通的客服还是那吊样,无语了,各种劫持,我这 b 站脚本被劫持, hosts 加了一条另一个 IP ,就没事了 |
 | 30 hudaoyou 2016-04-20 14:41:14 +08:00 楼主 一千万准备好了吗? |
 | 31 505262955 2016-04-22 16:16:11 +08:00 |
| 32 alonga OP @505262955 Google 下:(!无安全措施请勿直接访问) 8.525cm.com (!无安全措施请勿直接访问)还是有不少的这个情况的。 都是网宿 CDN ,或者七牛这类使用网宿 CDN 的网站。 应该不是原站到网宿之间的问题,如果是那样全部节点劫持情况都一样,但不清楚网宿的架构,分发的时候是原站到节点,还是原站到网宿再到节点,如果是网站到网宿,再由网宿分发到节点,肯定不是原站到网宿之间的问题。 联通线路劫持,移动前几天在晚上有劫持,但没早些时候的全部移动节点劫持了。 他这个 525cm 目前没有放广告、木马,所以普通用户根本无法察觉,只有些开发者发现 JS 代码异常。 我查到的情况是这个人以前是做黑产的,很像要伺机而动放木马。 电信劫持也开始了,电信主要是以广告为主,不清楚是不是一个人,南方电信感觉是运营商侧可能性比较大。 南方电信主要是被劫持添加了:(!无安全措施请勿直接访问) http://a6.googletakes.com:7777/js/c.js (!无安全措施请勿直接访问) 你可以试试这几个节点 IP 绑定到 HOSTS ,再访问: http://passport.suning.com/ids/js/passport.js 221.193.246.109 passport.suning.com 60.28.160.62 passport.suning.com 刚刚测试别的地区网络,还是有大规模的劫持。(不是本机本网络,是远程测试) 白天上午很少有节点被劫持,到了晚上最频繁。 当然不排除是运营商侧有问题。 但这么多地区的运营商有问题,骨干网的可能性比较低,如果是骨干网就不会只出现使用 CDN 的客户上。网宿的机房线路网络被劫持影响其他 CDN 节点可能性较大,以前发生过豆瓣所在的机房线路被劫持。感觉类似。 或者网宿个别客户账户有问题?之前在 Google 发现的一个被劫持的,现在通过全国的网络测试,只有广西玉林电信访问福建省福州市电信节点有劫持,这个应该是广西电信运营商的问题。 http://blog.csdn.net/zjkyz8/article/details/51103104 http://dn-tomatotown2application.qbox.me/js/interaction/interaction.1.0.1.js 目前苏宁这个 JS 被劫持的节点还是非常多的。 |
 | 33 mazhen8u8 2016-04-28 16:09:28 +08:00 @alonga @iKirby 两位是否也是在天津本地?我在天津河北, 3 月 21 日就发现这个劫持,当时就投诉工信部了,投诉详情可以参考我的博客( http://blog.sina.com.cn/s/blog_573fed980102wa6a.html ) 现在联通的投诉依然没有停止,到目前为止联通每周大概和我联系两次左右跟进进度,最新的情况是网宿的服务器提供商北京快云已经联系我了, 60.28.160.3X~62 这段 IP 应该都是他的 如果可能的话,我希望咱们能够紧密的沟通共享信息,我争取用足够的证据要求联通去处理问题。 |
Select Language