V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
alonga
V2EX  ›  云计算

网宿作死还是被黑?

  •  2
     
  •   alonga · 2016-04-18 17:12:33 +08:00 · 14938 次点击
    这是一个创建于 3141 天前的主题,其中的信息可能已经有所发展或是发生改变。

    观察到一个劫持,导致网站功能无法使用,但目前不知道他要干嘛,

    因为目前他只是劫持插入空白代码,没有放广告,也没有放马。

    (无安全措施请勿访问) http://8.525cm.com/v2/v.php?id=105 (无安全措施请勿访问)

    从来没发现过这种单一大规模的劫持,除了被黑,很少有人能控制这么多省运营商。

    不排除运营商,但我看阿里云都被劫持了就觉得蹊跷。

    劫持后的代码:

    正常代码:

    问题网宿 CDN 节点:(他是随机劫持,有些可能漏网)

    安徽合肥移动 浙江温州移动 山东移动 北京移动

    福建福州电信

    河北廊坊联通 山西晋城联通 山西晋中联通 北京联通

    被劫持的用户端线路:(他是随机劫持,有些可能漏网)

    福建移动 重庆移动 海南移动 陕西移动 上海移动 江苏移动 广西移动 河南移动 四川移动 江西移动 内蒙古移动 山东移动

    河北联通 天津联通 山西联通 山东联通 北京联通 辽宁联通 内蒙古联通

    广西电信

    武汉教育网

    最关键的是阿里云 北京线路居然被劫持!这个除了 CDN 问题,或北京联通给阿里云的线路不干净,不然没法解释了。

    这个数据跟我以前统计的一些很类似,比如这次发现的广西电信是电信劫持最严重的一个省份,联通那几个省份平时也属于最不干净的。不排除一个人控制了这些省份运营商的设备,比如北京移动、江苏移动就是一个家伙在搞。再次说明他是高几率随机劫持,十有七八。这个只有漏网,没有多的。

    第 1 条附言  ·  2016-04-18 18:51:23 +08:00
    又发现用户端: 贵州移动、黑龙江移动
    还发现用户端:海南电信
    电信对应的 CDN 节点是:广东肇庆电信、广东深圳电信、福建福州电信

    而且电信跟移动联通的劫持数据包是不一样的。

    移动、联通的劫持数据包相同。
    第 2 条附言  ·  2016-04-18 19:07:21 +08:00
    新增用户端:广东移动、河北电信
    河北电信对应 CDN 节点:山东烟台电信
    河北电信跟广西电信、海南电信数据包不一样
    第 3 条附言  ·  2016-04-18 19:10:42 +08:00
    新增:广东电信对应广东肇庆电信 CDN
    第 4 条附言  ·  2016-04-19 12:35:43 +08:00
    19 日只有零星省份运营商有劫持情况。

    天津教育网访问天津联通有劫持,
    天津联通访问天津联通 CDN 有劫持,
    北京小 ISP 访问北京联通 CDN 有劫持,
    内蒙古移动访问上海电信 CDN 有劫持,
    上面四者出现与昨天相同劫持。

    广东电信访问福建福州电信 CDN 观察到劫持。
    安徽电信访问江西南昌电信 CDN 有察到劫持。
    电信的劫持应该各自为政比较多。
    第 5 条附言  ·  2016-04-19 18:12:58 +08:00
    下午出现一次闪现劫持。
    苏宁网站搜索的时候被劫持到一个
    垃圾网站 (无安全措施请勿访问) http://www.bvxo.cn/ (无安全措施请勿访问)
    再跳转回苏宁,加上了广告 ID 。
    他的苏宁联盟 ID
    用户 ID : userId=3133983
    网站 ID : webSiteId=14482
    第 6 条附言  ·  2016-04-19 19:10:11 +08:00
    应该是天津联通作死(他确实在作死,即使这个 525cm 不是他,他也在劫持),或者有人控制苏宁、网宿、天津联通之间的线路,影响其它 CDN 节点。
    HOSTS
    60.28.160.62 passport.suning.com
    访问: http://passport.suning.com/ids/js/passport.js

    另外下午闪现的一个劫持,苏宁自己肯定知道是谁,因为那个劫持者是骗苏宁钱的,利益目的太明确了。
    33 条回复    2016-04-28 16:09:28 +08:00
    yexm0
        1
    yexm0  
       2016-04-18 17:45:49 +08:00 via Android
    看到教育网都中奖那就可以排除掉用户端运营商的问题了。
    alonga
        2
    alonga  
    OP
       2016-04-18 18:02:45 +08:00
    @yexm0 是啊,这么多运营商都被搞,很难觉得是谁能控制这么多运营商,数据抓包也不像运营商做的,当然数据包可以伪造。
    HTTPS 下是没问题的,说明服务器没问题。
    目前在网上找到关于 525cm 劫持都是跟网宿有关,有七牛,但是七牛用的就是网宿。

    感觉是网宿附近的某个地方被某些人控制了,跟豆瓣被搞很像,但豆瓣那次是有人控制一个电信通机房线路而已。网宿的线路很多啊。
    tSQghkfhTtQt9mtd
        3
    tSQghkfhTtQt9mtd  
       2016-04-18 18:09:23 +08:00 via Android   ❤️ 2
    楼主 1000 万准备好了吗?
    zonghua
        4
    zonghua  
       2016-04-18 18:11:11 +08:00
    没有一千万我们是不敢发帖的
    alonga
        5
    alonga  
    OP
       2016-04-18 18:18:44 +08:00
    @liwanglin12
    @zonghua

    1000 万游戏币可以吗?
    jasontse
        6
    jasontse  
       2016-04-18 18:22:11 +08:00 via iPad   ❤️ 2
    可能是 CDN 回源的链路被运营商劫持了,参考 Github 被 DDoS 的事情。
    newworld
        7
    newworld  
       2016-04-18 18:24:15 +08:00
    一 google 到处都是 好多 楼主有结果了 记得艾特我!谢谢
    KomeijiSatori
        8
    KomeijiSatori  
       2016-04-18 18:24:31 +08:00
    楼主你的一千万准备好了吗?
    xiaoban7
        9
    xiaoban7  
       2016-04-18 18:40:29 +08:00
    の。。(⊙o⊙)…
    phttc
        10
    phttc  
       2016-04-18 18:56:01 +08:00
    一千万是什么梗?
    huobazi
        11
    huobazi  
       2016-04-18 19:02:35 +08:00
    敢提 马云云, 1000 万啊
    alonga
        12
    alonga  
    OP
       2016-04-18 19:02:47 +08:00
    @jasontse 这种可能性最高,一个省出问题影响全国,原理是一个。

    @newworld 这个劫持覆盖规模非常大,但没有一个找到根源的。
    answeryou
        13
    answeryou  
       2016-04-18 19:10:15 +08:00
    LZ 估计是有钱人, 1000W 已准备好了
    huobazi
        14
    huobazi  
       2016-04-18 19:17:23 +08:00
    他的代码没考虑 https ,连这点血都不出哈。
    alonga
        15
    alonga  
    OP
       2016-04-18 19:26:56 +08:00
    @huobazi
    @answeryou
    哪敢得罪马首富,夸他家阿里云干净啊,如果阿里云都出问题,说明运营商问题的可能性不高而已。
    @huobazi
    其实这段 JS 苏宁有 HTTPS ,可是调用这段 JS 的页面没有 HTTPS 。
    苏宁在 CDN 节点很多有泛域名 ssl 证书,没启用。
    突然想起来,苏宁也是马首富家的,哎呦。
    1000 万游戏币好不好啊?
    jasontse
        16
    jasontse  
       2016-04-18 19:36:05 +08:00 via iPad
    @alonga 外人查找根源很困难,因为问题是有可能出现在网宿中间源上,只能联系网宿查找原因了 @weisdong
    alonga
        17
    alonga  
    OP
       2016-04-18 19:40:59 +08:00
    @jasontse 刚才看这篇博客百思不得其解应该是这个问题了。
    http://m.blog.csdn.net/article/details?id=51103104
    他七牛给用户端的是 HTTPS ,还被劫持,我就纳闷 HTTPS 怎么会被劫持呢。
    现在应该是原站被劫持了,或者 CDN 分发的问题吧。
    估计问题在网宿那边。
    @weisdong
    huobazi
        18
    huobazi  
       2016-04-18 19:44:34 +08:00
    @alonga 被劫持者有 https ,可劫持者自己的 ****v.php?id=105 那个没有 https 浏览器因安全策略加载会失败,所以这个手法好像不是很高明啊
    KenGe
        19
    KenGe  
       2016-04-19 00:49:15 +08:00 via Android
    网宿的快出现
    pine
        20
    pine  
       2016-04-19 09:38:38 +08:00
    我觉得这个是是本地运营商的问题,原因是不管什么线路,到你用的电脑只有一个线路,而网站是各大网站都有,如果是是网站或者是网宿问题,早就闹开了,但是本地运营商劫持你就呵呵了,大不了给你一个人开个免劫持。
    我遇到过,移动的,新浪搜狐网易都有一样的代码,而代码用 js 嵌套的很深,目的只有一个,卖流量,看似有几十万人访问的网站呵呵
    newworld
        21
    newworld  
       2016-04-19 10:07:13 +08:00
    @alonga 好吧 还好 我这里没有劫持
    lxy
        22
    lxy  
       2016-04-19 10:40:02 +08:00
    现在各种劫持很混乱。我用铁通访问某网站出现劫持(广告),然后我远程到阿里云的深圳节点再访问也出现同样的劫持,而我根本不在广东,也就是说,同样的劫持出现在了不同的省、不同的运营商。我一查广告其中一个 IP ,来源居然是北京鹏博士。
    alonga
        23
    alonga  
    OP
       2016-04-19 12:20:46 +08:00
    @huobazi
    根据那个博客的内容,应该类似豆瓣被劫持的那次,网站机房或者 CDN 机房附近线路被劫持,而不是用户端。

    @pine
    这次 525cm 劫持目前发现的都是使用网宿的网站。

    @newworld 我这里现在也没有劫持了。

    今天我再次测试一边,只有极少数省份运营商有劫持了。
    其中发现天津联通有劫持。出现 http://120.132.57.41/pjk/pag/ys.php ,这个是天津联通运营商搞的鬼。
    还有就是安徽电信对应的江西南昌电信 CDN 有劫持。
    北京小 ISP 有劫持。
    内蒙古移动访问上海电信 CDN 有劫持。
    安徽电信、天津联通的劫持不同。
    内蒙古移动、北京小 ISP 跟昨天一样。所以可能是这里扩散的劫持。

    @lxy 很多劫持自身也是在北京的,经常使用北京的多线机房,鹏博士电信通类似的 BGP 用的比较多吧,但要看具体的案例。
    alonga
        24
    alonga  
    OP
       2016-04-19 12:26:35 +08:00
    另外,发现教育网访问天津联通 CDN 出现的劫持相同。
    移动线路相同的劫持目前只发生在内蒙古移动访问电信 CDN (这个可能用了 NAT 被感染,走别的运营商线路)
    天津联通访问天津联通 CDN 有劫持。
    alonga
        25
    alonga  
    OP
       2016-04-19 19:09:46 +08:00
    应该是天津联通作死(他确实在作死,即使这个 525cm 不是他,他也在劫持),或者有人控制苏宁、网宿、天津联通之间的线路,影响其它 CDN 节点。
    HOSTS
    60.28.160.62 passport.suning.com
    访问: http://passport.suning.com/ids/js/passport.js

    另外下午闪现的一个劫持,苏宁自己肯定知道是谁,因为那个劫持者是骗苏宁钱的,利益目的太明确了。
    newworld
        26
    newworld  
       2016-04-19 19:48:17 +08:00
    @alonga 哎 这些人真是胆儿肥 为了钱 不要不要的
    hbq007
        27
    hbq007  
       2016-04-20 11:06:33 +08:00
    楼主图片 都不显示了 不过 最近联通 貌似全国 都开始劫持了。。
    抓包显示 被劫持的都有 图片 JS 下载等。。会导致 全网都失效
    不单是 302 劫持到联通数据中心 还有 DNS 错误 劫持 比如 你访问不存在的域名 也进行劫持
    现在知道是这俩段。。

    120.52.73.3

    120.52.73.8

    120.52.73.53

    120.52.72.56

    GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl HTTP/1.1
    Cache-Control: max-age = 900
    Accept: */*
    If-Modified-Since: Fri, 22 Jan 2016 06:00:36 GMT
    If-None-Match: "39a87136da54d11:0"
    User-Agent: Microsoft-CryptoAPI/6.1
    Connection: Keep-Alive
    Host: crl.microsoft.com


    HTTP/1.0 302 Found
    Server: HRS/1.4.2
    Date: Sat, 09 Aug 2016 01:55:02 GMT
    Content-Length: 0
    Content-Type: text/html
    Connection: close
    Cache-Control: no-cache
    Location: http://120.52.73.53/crl.microsoft.com/pki/crl/products/microsoftrootcert.crl
    hbq007
        28
    hbq007  
       2016-04-20 11:08:38 +08:00
    对了 这条抓包是 北京联通。。。 就是这么劫持的。。还有一个坏消息,投诉到工信部 联通也会照样的霸气回答你
    无法解决。。。就这么劫持。。说 ISP 缓存数据是合法的。。
    iKirby
        29
    iKirby  
       2016-04-20 13:45:59 +08:00
    @alonga 我跟天津联通投诉无果,到工信部投诉,最后联通的客服还是那吊样,无语了,各种劫持,我这 b 站脚本被劫持, hosts 加了一条另一个 IP ,就没事了
    hudaoyou
        30
    hudaoyou  
       2016-04-20 14:41:14 +08:00
    楼主 一千万准备好了吗?
    505262955
        31
    505262955  
       2016-04-22 16:16:11 +08:00
    @jasontse @alonga @KenGe 感谢几位还记得 @weisdong ,那个号被封掉了,(我理解的是这样)当时注册账号显示不存在,@Livid 有没有办法恢复的,给大神 gui 了。
    关于你们发布的问题,我一开始就看到了,我已经反馈给后台同事了,目前并未有客户大面积反馈。 @Livid ,帮回复 weisdong 的账号吧,谢谢。
    alonga
        32
    alonga  
    OP
       2016-04-22 18:14:16 +08:00
    @505262955 Google 下:(!无安全措施请勿直接访问) 8.525cm.com (!无安全措施请勿直接访问)还是有不少的这个情况的。
    都是网宿 CDN ,或者七牛这类使用网宿 CDN 的网站。

    应该不是原站到网宿之间的问题,如果是那样全部节点劫持情况都一样,但不清楚网宿的架构,分发的时候是原站到节点,还是原站到网宿再到节点,如果是网站到网宿,再由网宿分发到节点,肯定不是原站到网宿之间的问题。

    联通线路劫持,移动前几天在晚上有劫持,但没早些时候的全部移动节点劫持了。
    他这个 525cm 目前没有放广告、木马,所以普通用户根本无法察觉,只有些开发者发现 JS 代码异常。
    我查到的情况是这个人以前是做黑产的,很像要伺机而动放木马。

    电信劫持也开始了,电信主要是以广告为主,不清楚是不是一个人,南方电信感觉是运营商侧可能性比较大。
    南方电信主要是被劫持添加了:(!无安全措施请勿直接访问) http://a6.googletakes.com:7777/js/c.js (!无安全措施请勿直接访问)

    你可以试试这几个节点 IP 绑定到 HOSTS ,再访问: http://passport.suning.com/ids/js/passport.js
    221.193.246.109 passport.suning.com
    60.28.160.62 passport.suning.com
    刚刚测试别的地区网络,还是有大规模的劫持。(不是本机本网络,是远程测试)

    白天上午很少有节点被劫持,到了晚上最频繁。
    当然不排除是运营商侧有问题。
    但这么多地区的运营商有问题,骨干网的可能性比较低,如果是骨干网就不会只出现使用 CDN 的客户上。网宿的机房线路网络被劫持影响其他 CDN 节点可能性较大,以前发生过豆瓣所在的机房线路被劫持。感觉类似。

    或者网宿个别客户账户有问题?之前在 Google 发现的一个被劫持的,现在通过全国的网络测试,只有广西玉林电信访问福建省福州市电信节点有劫持,这个应该是广西电信运营商的问题。
    http://blog.csdn.net/zjkyz8/article/details/51103104
    http://dn-tomatotown2application.qbox.me/js/interaction/interaction.1.0.1.js

    目前苏宁这个 JS 被劫持的节点还是非常多的。
    mazhen8u8
        33
    mazhen8u8  
       2016-04-28 16:09:28 +08:00
    @alonga
    @iKirby
    两位是否也是在天津本地?我在天津河北, 3 月 21 日就发现这个劫持,当时就投诉工信部了,投诉详情可以参考我的博客( http://blog.sina.com.cn/s/blog_573fed980102wa6a.html
    现在联通的投诉依然没有停止,到目前为止联通每周大概和我联系两次左右跟进进度,最新的情况是网宿的服务器提供商北京快云已经联系我了, 60.28.160.3X~62 这段 IP 应该都是他的
    如果可能的话,我希望咱们能够紧密的沟通共享信息,我争取用足够的证据要求联通去处理问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2639 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 02:46 · PVG 10:46 · LAX 18:46 · JFK 21:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.