V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
VforVendetta
V2EX  ›  信息安全

直连 cloudflare pages 被劫持到黄网(持续时间 17 点 45 到 20 点 49)

  •  
  •   VforVendetta · 2023-12-14 21:03:43 +08:00 · 3144 次点击
    这是一个创建于 377 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天观察到这种情况,做个记录。 20231214205451.jpg

    15 条回复    2023-12-16 01:38:49 +08:00
    proxytoworld
        1
    proxytoworld  
       2023-12-14 22:35:20 +08:00
    域名都没有,可信度不高
    Dart
        2
    Dart  
       2023-12-14 22:38:53 +08:00
    的确。毫无依据,请不要污蔑
    flyqie
        3
    flyqie  
       2023-12-14 23:56:12 +08:00 via Android
    你确定不是本地运营商干的?
    esile
        4
    esile  
       2023-12-15 00:12:13 +08:00 via Android
    一般是页面引用第三方 js 导致
    Aurorataro
        5
    Aurorataro  
       2023-12-15 00:49:31 +08:00
    你怎么不说 V2EX 首页被劫持黄网。。好歹露出域名
    Binlabs
        6
    Binlabs  
       2023-12-15 09:33:26 +08:00
    @flyqie 本地运营商劫持到黄网?你这那脑洞够大
    JK2333
        7
    JK2333  
       2023-12-15 09:37:26 +08:00
    大概率是用了某个油猴插件或者扩展导致的吧····
    ppllss
        8
    ppllss  
       2023-12-15 09:40:54 +08:00
    求复现方法
    j16ZgMV9cs6ZB23n
        9
    j16ZgMV9cs6ZB23n  
       2023-12-15 09:51:57 +08:00
    cloudflare pages 不是自带免费的 ssl 证书吗?怎么会允许劫持呢

    ```
    * Server certificate:
    * subject: CN=<domain_name>
    * start date: Dec 5 03:12:03 2023 GMT
    * expire date: Mar 4 03:12:02 2024 GMT
    * subjectAltName: host "<domain_name>" matched cert's "<domain_name>"
    * issuer: C=US; O=Let's Encrypt; CN=E1
    * SSL certificate verify ok.
    ```
    ugpu
        10
    ugpu  
       2023-12-15 09:58:15 +08:00
    @Binlabs
    这很正常 深圳 广州 多少城中村 第三方承包宽带那种.
    Binlabs
        11
    Binlabs  
       2023-12-15 10:02:41 +08:00
    @ugpu 你说的这种是宽带二道贩子,不是运营商。
    ShuA1
        12
    ShuA1  
       2023-12-15 10:34:13 +08:00
    dns
    ncepuzs
        13
    ncepuzs  
       2023-12-15 11:52:18 +08:00
    你这什么信息也没有啊
    什么域名( pages 默认域名还是自定义域名)、什么地方、什么宽带、什么 DNS 等等
    sycxyc
        14
    sycxyc  
       2023-12-15 13:32:14 +08:00
    DNS 抢答,测试有 20%概率抢答成功,能污染缓存 2 小时。
    ```
    $ dig @8.8.8.8 pages.dev

    ; <<>> DiG ****** <<>> @8.8.8.8 pages.dev
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21629
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;pages.dev. IN A

    ;; ANSWER SECTION:
    pages.dev. 7200 IN A 156.251.239.*

    ;; Query time: ** msec
    ;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
    ;; WHEN: ******
    ;; MSG SIZE rcvd: **
    ```

    2023-12-11 已经观察到浏览器提示 pages.dev 的 HTTPS 证书不匹配,
    查了下 DNS 日志,最早 2023-11-02 就有*.pages.dev 污染到 156.251.239.*段的行为。

    推测:
    在 ddos 某 isp ;
    制造封锁依据,然后走流程;

    相关信息:
    https://www.v2ex.com/t/1000642
    https://hostloc.com/thread-1244424-1-1.html
    flyqie
        15
    flyqie  
       2023-12-16 01:38:49 +08:00 via Android
    @Binlabs #6

    这不是脑洞,以前就有啊。

    跳菠菜黄网,本地运营商内部人干的,你不知道?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1395 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:32 · PVG 01:32 · LAX 09:32 · JFK 12:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.