V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
mie
V2EX  ›  问与答

怎样看是不是被电信 http 劫持了?

  •  
  •   mie · 2014-12-25 20:06:10 +08:00 · 7399 次点击
    这是一个创建于 3646 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近上京东或者国美 都会在网址前面加上http://182.254.187.237:9609这个ip地址,例如打开京东就会跳转到http://182.254.187.237:9609/url/?url=http://union.click.jd.com/然后在跳转到京东 打开国美最严重最少跳转7到8次。

    一开始以为是浏览器拓展出了问题,全部禁用也还是会。换了DNS还是一样都会跳转到那个ip。就想会不会中毒了。换了台电脑同样的症状。虚拟机开网页也是一样。

    F12里面发现打开这些网站都会有一个yxj.js 第二行写着182.254.187.237/js/fhw/nz

    各种杀毒没结果。。使用SS代理再打开这些网站的话就不会跳转也没有这个JS。
    求解答这是为什么。。。

    15 条回复    2014-12-26 14:51:24 +08:00
    xqsx43cxy
        1
    xqsx43cxy  
       2014-12-25 20:07:44 +08:00 via Android
    这个可能是使用了和GFW劫持DNS一样的手段,UDP抢答。试试用ChinaDNS把UDP DNS转成TCP DNS
    JackWindows
        2
    JackWindows  
       2014-12-25 20:09:12 +08:00
    看上去是电信员工所为?182.254.187.237是腾讯云的IP。
    nealfeng
        3
    nealfeng  
       2014-12-25 20:15:57 +08:00
    http是明文传输的,就是中途被改了呗
    nealfeng
        4
    nealfeng  
       2014-12-25 20:15:57 +08:00
    http是明文传输的,就是中途被改了呗
    mie
        5
    mie  
    OP
       2014-12-25 20:20:36 +08:00
    @xqsx43cxy 可以解决这样是不是说明了是被电信劫持了?
    iCharlesC
        6
    iCharlesC  
       2014-12-25 20:26:06 +08:00
    肯定是出问题,但也许应该先查一下电脑是否中木马。
    mie
        7
    mie  
    OP
       2014-12-25 20:30:51 +08:00
    @iCharlesC 不可能2台电脑包括虚拟机都中了病毒吧
    wwqgtxx
        8
    wwqgtxx  
       2014-12-25 21:06:42 +08:00 via Android
    我这里的电信也是无差别的注入广告,所以果断执行了
    iptables -I INPUT -s 61.191.47.29 -j DROP
    Slienc7
        9
    Slienc7  
       2014-12-25 21:54:22 +08:00
    明显http劫持,推广收广告费之类
    工信部举报
    zro
        10
    zro  
       2014-12-25 23:51:24 +08:00
    @wwqgtxx 这样做,会不会在劫持时出现“连接被重置”?
    rwzsycwan
        11
    rwzsycwan  
       2014-12-26 00:01:16 +08:00
    看了下我的 先跳到 p.yiqifa.com 然後跳到 union.click.jd.com 最後再打開京東
    wwqgtxx
        12
    wwqgtxx  
       2014-12-26 07:07:35 +08:00 via Android
    @zro 少数会,刷新一下就行了
    zro
        13
    zro  
       2014-12-26 09:04:55 +08:00
    @rwzsycwan @mie 所以我不从jd.com打开京东了,用“我的订单”(http://order.jd.com/center/list.action)来代替,貌似这样就不会跳转
    rwzsycwan
        14
    rwzsycwan  
       2014-12-26 10:05:35 +08:00
    @zro 这个打开后是https登陆 应该会没问题
    zro
        15
    zro  
       2014-12-26 14:51:24 +08:00
    @rwzsycwan 已经用了好几个月了,只遇到过一次那种透明广告,在页面点哪里都会弹出它的返利窗口,当时看了下URL,带test字眼,估计是拿来测试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:09 · PVG 22:09 · LAX 06:09 · JFK 09:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.