京东的"内鬼级"劫持

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

请用平和的语言准确描述你所遇到的问题

厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2560 天前的主题，其中的信息可能已经有所发展或是发生改变。

curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"

第一次返回

<!DOCTYPE html><html><head><meta name="referrer"cOntent="never"></head><body> <script>window.location.href="/*union 地址*/";</script> </body></html>

再请求一次返回

<html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html>

只在 http 会起作用
只识别 UA Windows
结合相关讨论可知覆盖范围为西南地区

第 1 条附言 2018-11-26 02:19:04 +08:00

任意地区(国内外)皆可复现

第 2 条附言 2018-11-26 10:09:51 +08:00

不排除这台节点的出口被人做了无差别劫持的可能

如果是公司故意覆盖其他推广，也会误杀少数正当京东联盟的广告主收入，而且只有这一台节点（只发现了这一个）可用，似乎说不过去。

第 3 条附言 2018-11-26 12:36:03 +08:00

抓包结果中恶意的 200 响应是抢答内容

tcpdump -i eth0 -n ne t 182.131.4.0/24 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0 12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0 12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1 12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0 12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK 12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily 12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0

第 4 条附言 2018-11-27 10:35:19 +08:00

水落石出 #385 @JDSecOffical

感谢您的支持和关注，京东已监测到这一问题，发现该劫持在到达京东 CDN 节点前已发生，涉及到的相关第三方公司的行为严重违反了京东规定，京东已终止与其合作，并将对其违规行为进行严肃处理。

410 条回复 2018-11-28 21:49:36 +08:00

1 2 3 4 5

gy6221

2018-11-26 01:22:25 +08:00

这看起来更像是运营商干的

ysc3839

2018-11-26 01:24:45 +08:00 via Android

“只在 http 会起作用”就无法排除中间人攻击的可能性了。

miyuki

2018-11-26 01:32:39 +08:00 via Android

@gy6221

可以在任何一台机器上(国内国外)验证

这个是京东的 CDN 节点，而且 https 访问一下会抛出 *.jd.com 的证书

miyuki

2018-11-26 01:34:09 +08:00 via Android

@ysc3839

的确无法排除，虽然能在任何地方的机器上复现

zbinlin

2018-11-26 02:07:18 +08:00

查了下：

```
whois 182.131.4.1
```

有个 `Data Communication Bureau Of Sichuan Province` 地址，然后百度了下，有惊喜 /dog

jimchen9999

2018-11-26 02:41:46 +08:00

英国伦敦成功复现

sutra

2018-11-26 03:04:25 +08:00

182.131.4.1 Data Communication Bureau Of Sichuan Province 然后你懂的

sutra

2018-11-26 03:07:49 +08:00

你换成别的 IP，比如 curl -v http://61.174.55.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" 就挺干净。

mytsing520

PRO

2018-11-26 04:50:27 +08:00

Google Cloud 香港，复现

liuyanjun0826

2018-11-26 04:57:03 +08:00

login as: root
[email protected]'s password:
Linux vultr.guest 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat Nov 24 09:54:43 2018 from 112.246.226.63
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~#

New Jersey Vultr

ericbize

2018-11-26 04:59:24 +08:00 via iPhone

@liuyanjun0826 ip 暴露了
line 2

liuyanjun0826

2018-11-26 05:02:26 +08:00

@ericbize 对阿，就是为了验证是 New Jersey Vultr，有什么问题？

liuyanjun0826

2018-11-26 05:10:43 +08:00

利益相关，京东员工，警告楼主不要造谣

zbinlin

2018-11-26 05:26:15 +08:00

@liuyanjun0826 hehe，这个 UA 被“你们”加入白名单了吧。切实，直接用这个 UA 已经无法复现了，不过，随便改下 UA 里的字符，例如改下 chrome 的版本号，就可以重新重现了。

PS：这个帖子可能已经被有心人“看到了”

liuyanjun0826

2018-11-26 05:34:10 +08:00

@zbinlin 与我联系，我来处理

johnnie502

2018-11-26 06:03:48 +08:00

美国 comcast 还是能复现

mytsing520

PRO

2018-11-26 06:23:31 +08:00

Google Cloud 台湾彰化截图
这一来呢还来了两次。。

顺带把截图保存时间也放上来，免得被说成是 PS：

有些人呢是真的不识好人心。。

Sweden

2018-11-26 06:23:59 +08:00 via Android

欧洲 telenet 成功复现

lihongming

2018-11-26 06:33:18 +08:00 via iPhone

人在加拿大，现在仍可复现 @刘强东

Suzutan

2018-11-26 07:41:00 +08:00 via Android

![Screenshot_20181126-073854.png]( https://i.loli.net/2018/11/26/5bfb32b7325cd.png)

四川电信复现

![Screenshot_20181126-073822.png]( https://i.loli.net/2018/11/26/5bfb32b735e46.png)

美国洛杉矶，美国 Choopa，复现

sdshdv

2018-11-26 08:13:21 +08:00 via Android

这可算是搞出大新闻了

7654

2018-11-26 08:21:46 +08:00

@liuyanjun0826 #13 wy6rm7 是哪个渠道能说说吗，不是一般人哇

qianmeng

2018-11-26 08:21:58 +08:00 via Android

现在老板消停了，下面的人就活跃起来了，我这里没看到，估计不是目标地区

rayhy

2018-11-26 08:22:20 +08:00 via Android

谁能帮忙解释下这是啥意思吗。。不太懂唉

sutra

2018-11-26 08:27:41 +08:00

@qianmeng 我这边现在也不能复线了。几分钟前还能复现的。

v2chou

2018-11-26 08:31:44 +08:00

这大佬大佬推广都不用了直接收入

sutra

2018-11-26 08:35:24 +08:00

@sutra @qianmeng 刚刚换了个 VPS 测试了一下，还可以复现。

cnkuner

2018-11-26 08:42:24 +08:00 via Android

大家估计一下每天收入能到什么量级，我感觉一天等于一年工资妥妥的。

gimp

2018-11-26 08:45:27 +08:00

哈尔滨移动复现成功

halouha

2018-11-26 08:48:03 +08:00

香港复现成功

bmos

2018-11-26 08:48:44 +08:00

@rayhy union.*是京东推广链接，通过这个链接购买的人，京东会给推广人结算提成。相当于你要去超市，我在路上偷偷把你劫持，贴一个标签，说是我带来的人，你买东西后，超市根据你买的商品给我结算一定百分比的提成。

CasperLee

2018-11-26 08:49:12 +08:00

进来一脸懵，出去一脸懵，有没有大佬给说说这是什么的？

reus

2018-11-26 08:54:01 +08:00

运营商劫持也是有可能的，http 可以篡改

bxb100

2018-11-26 08:54:19 +08:00

@CasperLee #32 CPS , 返利链接

cnkuner

2018-11-26 08:56:58 +08:00 via Android

@CasperLee 一般来说运营商劫持不会有这么广的范围，从目前复现的情况看，更可能是狗东内部在部署的时候做了手脚。不过也有其他的可能性。

ScotGu

2018-11-26 09:02:04 +08:00

刚搞了个美国 VPS，复现达成~

对比起，某些人“警告” LZ 的言论我没憋住~
就算不是 JD 正式员工，这种 IDC 级别的劫持能过返利系统的风控？

Zeonjl

2018-11-26 09:05:49 +08:00 via Phone

真这样 jd 惠报警抓人吗？

jLR8cY1y4L15vs2v

2018-11-26 09:06:18 +08:00 via Android

堂而皇之薅公司的羊毛，说明京东 IT 部门管理不行

fhefh

2018-11-26 09:07:29 +08:00

美国复现

leido

2018-11-26 09:08:39 +08:00 via Android

玛德狗东，真以为四川人看不懂么

vertion

2018-11-26 09:09:52 +08:00

广州，香港，及东京均可复现

C2G

2018-11-26 09:10:04 +08:00 via Android

@reus 全球劫持就不好说了

hyshuang2006

2018-11-26 09:11:02 +08:00

谁去微博 @ 京东，就可以把事情弄大啦！

JmmBite

2018-11-26 09:11:37 +08:00

http://127.0.0.1/?cdn=hisnum

Osk

2018-11-26 09:15:34 +08:00 via Android

联通网络手机 4G 热点无法复现，
电信网络从今年我换宽带后就这样，http 会被加小尾巴。

Windows 10 平台，切换网络时运行了 ipconfig /flushdns，隐身模式访问 jd.com ，先测试联通，直接跳转到 https://www.jd.com ，中间怎么跳的不知道，但最终访问的地址是干净的。然后换到电信网络，关闭窗口，flushdns，首次访问非 http 100%跳转到 https 的 union 地址。

我换宽带后电信就是这样的，之前我还想去工信部投诉电信。

Osk

2018-11-26 09:16:17 +08:00 via Android

信置：四川联通，四川电信

ohmyzsh

2018-11-26 09:16:20 +08:00 via Android

利益相关，"警告楼主"？！

MDZZ

justff

2018-11-26 09:16:56 +08:00

@liuyanjun0826 这就是你们京东的做事态度？警告发现问题的人？

Rorysky

2018-11-26 09:18:11 +08:00 via iPhone

@liuyanjun0826 赶紧去发个微博，@ 你们大佬

Osk

2018-11-26 09:18:25 +08:00 via Android

@justff 哈哈，可能真和 jd 没关系，但是这简直是黑公关了

lll4m

2018-11-26 09:18:28 +08:00

这个问题大概半年前我就有见过，在广州。不过对本人购物没有影响就无视了

FakeLeung

2018-11-26 09:18:38 +08:00

广东电信复现成功，bwg 凤凰城 vps 复现不成功：

这一天的收入极其可观啊。

Rorysky

2018-11-26 09:18:51 +08:00 via iPhone

@ohmyzsh 拿工资拿成精神大股东了

zhuxinyu

2018-11-26 09:19:12 +08:00

利益相关？

dangge

2018-11-26 09:20:42 +08:00

https://lianjie.jd.com/

虽然不知道管不管。。。

xiaoyangsa

2018-11-26 09:20:44 +08:00

@liuyanjun0826 666

zr8657

2018-11-26 09:21:24 +08:00

@liuyanjun0826 可以，这很京东

snw

2018-11-26 09:21:51 +08:00 via Android

猜测是 CDN 所在地的 ISP 劫持的。一个十多年前的帖子：
https://bbs.tianya.cn/m/post-284-52975-1.shtml

maroon5

2018-11-26 09:22:00 +08:00

还真是能复现

ohmyzsh

2018-11-26 09:23:25 +08:00 via Android

@Rorysky 他说的"利益相关"，是指他是"内鬼"之一？

asd123456cxz

2018-11-26 09:24:51 +08:00

请问各位大佬这个。。是怎么发现的？感觉好厉害

yorks

2018-11-26 09:25:08 +08:00

https://i.loli.net/2018/11/26/5bfb4aca1412c.png 嗯，有 ua 有 Windows，ua 的其他字眼随便改改第一次肯定能中。看上去是对 windows 的 ua 做了 hash。

digimoon

2018-11-26 09:25:48 +08:00

成功复现，不知道这是什么时候开始的，一天能赚多少呢？

123s

2018-11-26 09:26:26 +08:00

可怕

2018-11-26 09:27:07 +08:00

感觉闹得挺火的，看来这个账户别想结算了。

wibile

2018-11-26 09:27:23 +08:00

大新闻啊，我还以为只是运营商的小伎俩。。。。厉害了！！！！

Mysqto

2018-11-26 09:27:25 +08:00

换个 UA 本地电信、瓦工 HK、LA 和 GCP HK、TW 以及 azure 和 AWS 均能复现

cncaihua

2018-11-26 09:28:21 +08:00

这贴要留名吧，虽然我啥也看不懂。

mohoumk2

2018-11-26 09:28:37 +08:00 via Android

警告楼主的怕不是就是劫持的人

xdeng

2018-11-26 09:28:45 +08:00

3 台 vps 轻轻松松复现

icebreaker

2018-11-26 09:29:03 +08:00 via Android

猜测是公司自己搞得，可以覆盖别家的推广链接。不然那么多钱能领出来吗？领几百万的财务不会核实流量来源吗，都不是傻子。

Xiaomage2333

2018-11-26 09:29:17 +08:00 via Android

vultr 日本东京，复现成功~

18601294989

2018-11-26 09:29:51 +08:00

Wy6RM7 这个人赚翻了吧

goofool

2018-11-26 09:30:24 +08:00

8 月份有人在路由器论坛提过
http://koolshare.cn/thread-145660-1-1.html

jackkate815

2018-11-26 09:30:38 +08:00 via iPhone

关注.......

YakuMioto

2018-11-26 09:32:40 +08:00

Mark.

exkernel

2018-11-26 09:33:01 +08:00

持续关注

shanlan

2018-11-26 09:33:18 +08:00

阿里云

cncaihua

2018-11-26 09:35:20 +08:00

坐等分钱

tatelucky

2018-11-26 09:35:51 +08:00

杭州复现成功

SimbaPeng

2018-11-26 09:35:59 +08:00

6 阿

zdd2389

2018-11-26 09:36:15 +08:00

mawenjian

2018-11-26 09:36:47 +08:00 via iPhone

如果不能解决问题，就解决发现问题的人。没错，这很“利益相关”。

amew

2018-11-26 09:37:10 +08:00

多地址复现,6666

YOOHUU

2018-11-26 09:37:32 +08:00

广州虚拟机瞧了下没有

jingyulong

2018-11-26 09:38:21 +08:00

好像很厉害的样子

pepesii

2018-11-26 09:39:25 +08:00

成都电信复现

taozi00

2018-11-26 09:40:43 +08:00

完全没错啊，真的是利益相关，哈哈哈哈

ranleng

2018-11-26 09:40:59 +08:00 via Android

啧啧啧。

SKull4

2018-11-26 09:41:18 +08:00

有了 Wy6RM7 这个标示是不是就能查出是谁了

hheng101

2018-11-26 09:41:21 +08:00

太魔幻了吧。总觉得不可思议

mikewoo

2018-11-26 09:42:32 +08:00

那个号称员工还警告楼主的，这是什么神操作啊

7654

2018-11-26 09:42:45 +08:00

@icebreaker #71 脑洞可以啊

lonccc

2018-11-26 09:42:48 +08:00

北京教育网+凤凰城复现成功

https://i.loli.net/2018/11/26/5bfb4f227c914.png

hezhile

2018-11-26 09:43:35 +08:00

广州移动貌似没有

ikaros

2018-11-26 09:44:36 +08:00

我也记得至少半年前就有了，不过当时是直接浏览器输的网址

ken863103

2018-11-26 09:46:50 +08:00

貌似最早的记录出现在 2017 年 https://www.52pojie.cn/forum.php?mod=viewthread&tid=681235&page=1&authorid=56385

hellojay

2018-11-26 09:47:04 +08:00

可能是京东为了检测流量设置的
就像你直接输入 z.cn 跳转到 https://www.amazon.cn/ref=z_cn?tag=zcn0e-23

smallQ

2018-11-26 09:47:19 +08:00

吃瓜看戏

100

cai314494687

2018-11-26 09:47:27 +08:00

深圳复现

1 2 3 4 5