V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
PlanetCat
V2EX  ›  问与答

一个奇怪的劫持问题

  •  
  •   PlanetCat · 2015-09-14 17:41:37 +08:00 · 2190 次点击
    这是一个创建于 3385 天前的主题,其中的信息可能已经有所发展或是发生改变。
    从昨天开始,访问任何 http 的站点都有可能卡一下,持续 1 秒左右,然后显示正常页面,再次刷新就是秒开, 1 分钟左右又会出现一次。

    我以为只是浏览器的问题,偶然卡的时候打开 F12 ,看到了下面的内容



    当时感觉应该是运营商的劫持,但是发现 IP 有点眼熟, Google 了一下,细思恐极...

    同城同运营商的朋友没有发现这个问题

    请问我这是被盯上了?
    15 条回复    2015-09-15 15:49:42 +08:00
    emric
        1
    emric  
       2015-09-14 17:50:08 +08:00
    这个脚本的内容贴上来让大家看看?
    PlanetCat
        2
    PlanetCat  
    OP
       2015-09-14 18:05:34 +08:00
    @emric 内容是指这个吗?
    emric
        3
    emric  
       2015-09-14 18:09:21 +08:00
    @PlanetCat 内嵌的这个脚本还有下面那个外联的, 想知道他能够获取到什么样的信息.
    PlanetCat
        4
    PlanetCat  
    OP
       2015-09-14 18:16:50 +08:00
    @emric 真奇怪,那个外链的脚本是打不开的
    emric
        5
    emric  
       2015-09-14 18:50:54 +08:00
    @PlanetCat 这个内联的脚本发到 Gists, 我格式化看看.
    yexm0
        6
    yexm0  
       2015-09-14 19:15:26 +08:00
    我还以为这些都是黑洞路由,没想到啊........
    PlanetCat
        7
    PlanetCat  
    OP
       2015-09-14 20:35:02 +08:00
    gunshot
        8
    gunshot  
       2015-09-14 20:41:37 +08:00
    emric
        9
    emric  
       2015-09-14 22:33:42 +08:00
    @PlanetCat 似乎在利用 sr.swf 做了些什么, 或许是 flash 的漏洞. 没 ss.js 没办法彻底的弄明白.
    emric
        10
    emric  
       2015-09-14 22:35:43 +08:00
    口误.. 应该是没有 sr.swf 没办法彻底的弄明白.
    emric
        11
    emric  
       2015-09-14 22:47:35 +08:00   ❤️ 1
    我去查了一下, swf 和 ss.js 应该是这个项目 (1 ) 的文件.
    这个 js 的作用, 就是创建一个随机数 + 时间的 cookie 用图像 ping 的方式发送给服务器..
    然而.. 这个是什么东西? 识别用户?

    1. https://github.com/nfriedly/Javascript-Flash-Cookies
    kslr
        12
    kslr  
       2015-09-14 23:23:48 +08:00 via Android
    @emric 你说的更像是网站统计,它就是使用这种技术实现的。
    Laforet
        13
    Laforet  
       2015-09-15 08:03:06 +08:00
    应该是你被某种应用层的东西劫持,然后这个东西的 C2 域名又正好被污染了。
    PlanetCat
        14
    PlanetCat  
    OP
       2015-09-15 14:17:08 +08:00
    @emric 多谢。然而这个 IP 实在让人放心不下...也不知道在做什么.._(:з」∠)_

    @Laforet 现在同城的朋友也遇到了,感觉是联通做的劫持,联通劫持不会弄一个被污染的域名吧...
    Laforet
        15
    Laforet  
       2015-09-15 15:49:42 +08:00
    @PlanetCat

    未必是联通做的,能查到域名的话或许能看出些什么。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1004 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:44 · PVG 06:44 · LAX 14:44 · JFK 17:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.