V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
miyuki
V2EX  ›  全球工单系统

京东的"内鬼级"劫持

  miyuki · 2018-11-26 00:42:20 +08:00 · 49868 次点击
这是一个创建于 2188 天前的主题,其中的信息可能已经有所发展或是发生改变。
curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"

第一次返回

<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>

再请求一次返回

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>

  • 只在 http 会起作用
  • 只识别 UA Windows
  • 结合相关讨论可知覆盖范围为西南地区
第 1 条附言  ·  2018-11-26 02:19:04 +08:00
任意地区(国内外)皆可复现
第 2 条附言  ·  2018-11-26 10:09:51 +08:00
不排除这台节点的出口被人做了无差别劫持的可能

如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
第 3 条附言  ·  2018-11-26 12:36:03 +08:00

抓包结果中恶意的 200 响应是抢答内容

tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
第 4 条附言  ·  2018-11-27 10:35:19 +08:00

水落石出 #385 @JDSecOffical

感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。

410 条回复    2018-11-28 21:49:36 +08:00
1  2  3  4  5  
luofan004
    301
luofan004  
   2018-11-26 15:28:53 +08:00
吃瓜吃瓜,老铁们赶紧抢先更新公众号抢板凳哇
huafang
    302
huafang  
   2018-11-26 15:31:37 +08:00
科技先生 表示关注
freewind
    303
freewind  
   2018-11-26 15:32:48 +08:00
这返利的钱会加用到用户身上吗,比别人售价高一点?
crystone
    304
crystone  
   2018-11-26 15:35:40 +08:00
年度系列??
nange151
    305
nange151  
   2018-11-26 15:38:06 +08:00
吃瓜
cnbobolee
    306
cnbobolee  
   2018-11-26 15:47:55 +08:00
用欧洲 IP 测试已经无法复现了,有人看到改了。
pisser
    307
pisser  
   2018-11-26 15:50:52 +08:00
劫持这种东西被发现就躲猫猫,风头过后悄悄又搞起来,问你服不服。
k8ser
    308
k8ser  
   2018-11-26 15:57:09 +08:00
182.131.4.1 不明白你们各个几点测试这个 IP,山东联通 的 cdn 是 119.188.142.1 这个,我测试复现
Hakka
    309
Hakka  
   2018-11-26 15:58:17 +08:00
胆子这么肥,持续关注
wangluwl
    310
wangluwl  
   2018-11-26 16:02:53 +08:00
已经修复了?没法复现了。
green15
    311
green15  
   2018-11-26 16:05:24 +08:00 via iPhone
@laoganbu 相当于打 98 折……
cont
    312
cont  
   2018-11-26 16:07:06 +08:00
吃瓜围观,被发现开始躲风头?
DeepCold
    313
DeepCold  
   2018-11-26 16:09:13 +08:00
我说咋之前直接输入 jd.com 一直跳转
https://rtbs24.com/?target=https%3A%2F%2Fytthn.com%2Fclick-IQL4686A-HFDQCIIE%3Fbt%3D25%26tl%3D1__%26url%3Dhttps%3A%2F%2Funion-click.jd.com%2F

https://union-click.jd.com
这两个地址,逼得我没办法每次都直接输入 jd.com/index.html
现在我这里想访问 union 的地址都直接给我 302 到 jd.com
server
    314
server  
   2018-11-26 16:10:06 +08:00
前排出售广告位
laoganbu
    315
laoganbu  
   2018-11-26 16:16:34 +08:00   ❤️ 1
@green15 对购买的人而言没打折,甚至不知情
钱是返利给了 利益相关的人
hujihuihuhu
    316
hujihuihuhu  
   2018-11-26 16:29:52 +08:00   ❤️ 2
@freewind 不会,对购买人而言毫无区别。其实包括淘宝,京东等各大电商网站都存在隐形的返佣。只是很多人利用信息的不对称,私吞了这部分返利。
zizaiv2
    317
zizaiv2  
   2018-11-26 16:29:55 +08:00
吃瓜
suroi
    318
suroi  
   2018-11-26 16:35:21 +08:00
牛逼啊~
cat9life
    319
cat9life  
   2018-11-26 16:44:08 +08:00
#13 警告楼主是什么操作..
jookr
    320
jookr  
   2018-11-26 16:45:52 +08:00
这就是所谓的吃了下家吃上家,够黑的啊。
jookr
    321
jookr  
   2018-11-26 16:48:17 +08:00
@cat9life 解决不了问题,难道还不能把发现问题的人解决吗?是不是很有特色?::doge::
lusheldon
    322
lusheldon  
   2018-11-26 16:49:20 +08:00 via Android
关注了一天了,想知道是不是利益相关的人发现威胁网友没有用,赶紧修复了
lzsadam
    323
lzsadam  
   2018-11-26 17:42:00 +08:00
这个问题至少几年了
自己换过好几个 DNS 都不行,我一直以为是电信运营商劫持
同楼上某位同学,HTTPS 没事就没管了
这下终于。。。
luofan004
    324
luofan004  
   2018-11-26 17:45:02 +08:00
感觉大佬们被 被动褥羊毛很愤怒,我只能在角落里颤抖,哈哈
1KN6sAqR0a57no6s
    325
1KN6sAqR0a57no6s  
   2018-11-26 17:53:05 +08:00 via Android
所以有没有人算一下就双十一期间大概薅了多少。
Seanfuck
    326
Seanfuck  
   2018-11-26 18:01:33 +08:00
牛 B,这事上微博了
xueshen
    327
xueshen  
   2018-11-26 18:03:13 +08:00
我推测这是京东自己的,然后通过 CPS 来赚钱商家的钱,比如商家本来只需要给京东 5%费用,现在通过联盟这么一搞可能就是 8%了,还可以通过其他公司避税,又不影响整体销售额。
EZG997
    328
EZG997  
   2018-11-26 18:06:57 +08:00
Wy6RM7 岂不赚翻?
CCNemo
    329
CCNemo  
   2018-11-26 18:17:54 +08:00 via Android
这账户每日入账滴多少呀
miyuki
    330
miyuki  
OP
   2018-11-26 18:19:04 +08:00
@Seanfuck 求地址 :p
keikeizhang
    331
keikeizhang  
   2018-11-26 18:20:19 +08:00
c090817
    332
c090817  
   2018-11-26 18:21:56 +08:00
持续关注,还是 mark 一下吧
keikeizhang
    333
keikeizhang  
   2018-11-26 18:22:20 +08:00
niceworld
    334
niceworld  
   2018-11-26 18:25:23 +08:00   ❤️ 3
....终于是要破案了啊,以前我还投诉过,后来不了了之后发现 https 可破就没管了.....
随便安利下 https-everywhere 这个插件
zsy979
    335
zsy979  
   2018-11-26 18:33:23 +08:00
这种事除了不了了之 还能怎么地 🐶
kingcc
    336
kingcc  
   2018-11-26 18:38:11 +08:00
666
66beta
    337
66beta  
   2018-11-26 18:47:50 +08:00 via Android
好刺激,看大佬破案
Hconk
    338
Hconk  
   2018-11-26 18:51:45 +08:00 via Android
能做到这个量级的劫持,手里应该有资源能让这事不了了之。
ExcellentHzj
    339
ExcellentHzj  
   2018-11-26 19:08:46 +08:00 via Android
一直发现有这问题。因为不影响使用就没排查过。关注一下。
HangoX
    340
HangoX  
   2018-11-26 19:10:50 +08:00
原来是真的有,一直以为是自己插件问题,但是又是随机的,不好复现,原来是直接访问就有
zhangchioulin
    341
zhangchioulin  
   2018-11-26 19:27:32 +08:00
@keysona #278 同等 13 楼
jimmyczm
    342
jimmyczm  
   2018-11-26 19:48:41 +08:00
看戏看戏~~~
Microi
    343
Microi  
   2018-11-26 20:22:03 +08:00
吃瓜看戏美滋滋。
devsox
    344
devsox  
   2018-11-26 20:27:05 +08:00
mark
leo7476040305
    345
leo7476040305  
   2018-11-26 20:29:20 +08:00 via iPhone
腾讯云香港 阿里云美国 阿里云新加坡 Googlecloud 香港 搬瓦工香港全部复现!
avrillavigne
    346
avrillavigne  
   2018-11-26 20:42:34 +08:00
FEDT
    347
FEDT  
   2018-11-26 20:43:48 +08:00 via iPhone
@laoganbu 这个是怎么看到的
eastlhu
    348
eastlhu  
   2018-11-26 20:49:44 +08:00
@DeepCold 对啊,我访问 jd.com 也是跳到这里,为啥,跟楼主的发现有关吗
Samuel021
    349
Samuel021  
   2018-11-26 21:20:36 +08:00
Peanut666
    350
Peanut666  
   2018-11-26 21:29:50 +08:00
@sobigfish 成都电信的确实一直有劫持京东,我也投诉到京东联盟过
Peanut666
    351
Peanut666  
   2018-11-26 21:39:13 +08:00
四川电信一直有劫持各种购物网站,京东、淘宝、1 号店,从省级运营商到市级运营商的我都遇到过,只能说撑死胆大的
shanigan
    352
shanigan  
   2018-11-26 22:00:18 +08:00   ❤️ 3
@liuyanjun0826

"利益相关,京东员工,警告楼主不要造谣"

不是做公关的,公共场合代表你司发言要再三斟酌。公司不是你家的。
FakeLeung
    353
FakeLeung  
   2018-11-26 22:06:00 +08:00
我就贴一张图,坐标成都。
PP
    354
PP  
   2018-11-26 22:06:37 +08:00
@xueshen 不排除这种可能。
xmlf
    355
xmlf  
   2018-11-26 22:07:42 +08:00 via Android
@lijiawei 你这个是免费试用的吗?
nicevar
    356
nicevar  
   2018-11-26 22:17:36 +08:00
这么大的胃口,不是集体作案根本吃不下去
0xcb
    357
0xcb  
   2018-11-26 22:58:26 +08:00 via Android
这劫持太广了吧,要火
zzth370
    358
zzth370  
   2018-11-26 23:11:04 +08:00
mark
dianxin
    359
dianxin  
   2018-11-26 23:11:09 +08:00
吃瓜关注
wyfyw
    360
wyfyw  
   2018-11-26 23:26:49 +08:00
感觉好像修复了,坐标美国
zts1993
    361
zts1993  
   2018-11-26 23:36:42 +08:00
围观 13 楼。 送你上去
envylee
    362
envylee  
   2018-11-26 23:46:53 +08:00
zomco
    363
zomco  
   2018-11-26 23:48:03 +08:00   ❤️ 4
13 楼下次发利益相关前先换马甲吧

![]( )
crack105
    364
crack105  
   2018-11-27 00:02:19 +08:00 via Android   ❤️ 1
13 楼你莫着急 莫慌
yinanc
    365
yinanc  
   2018-11-27 01:03:11 +08:00 via iPhone
懒得开命令行,用 dev tools 看了下,默认输入 jd.com 是进 https 的,首页直接是 200 没有 302,也不能地址栏改 HTTP 换到 HTTP,直接访问这个 ip 的话被跳到 127.0.0.1 了。
yinanc
    366
yinanc  
   2018-11-27 01:04:30 +08:00 via iPhone
所以一般方法根本访问不了 HTTP 页面吧,如果是这样的话,影响也不会很大吧?
tsui
    367
tsui  
   2018-11-27 04:35:50 +08:00 via iPhone
@yinanc request 是由 load balancer 决定哪台 host 响应的,不用 curl 或者其他工具,你的 request 是由别的 host 响应的,自然无法复现。本来全文说的就是这一台 host 有问题。
brblm
    368
brblm  
   2018-11-27 06:24:26 +08:00 via Android
@liuyanjun0826 我吃瓜的。想看热闹
Orz
    369
Orz  
   2018-11-27 06:57:38 +08:00
新闻还没出来吗,好奇京东这一波怎么公关。
senduy
    370
senduy  
   2018-11-27 08:00:56 +08:00 via Android
京东警告
snakejia
    371
snakejia  
   2018-11-27 08:21:02 +08:00
up up
nneedd
    372
nneedd  
   2018-11-27 08:50:00 +08:00
dalas 小鸡,302
gimp
    373
gimp  
   2018-11-27 08:54:51 +08:00
真 · 利益相关,哈哈哈

大新闻后排围观
hushulin
    374
hushulin  
   2018-11-27 08:57:59 +08:00
京东最低价离发行价还差几毛,股票跌成这样,裁员 10%,哪有心情管这等小事,安心吃瓜
youngster
    375
youngster  
   2018-11-27 09:05:21 +08:00
股价下跌还不是强东哥哥干的好事
yxcoder
    376
yxcoder  
   2018-11-27 09:10:30 +08:00
不管,虽然看不太懂,占个坑
udqg3v0ZL6h6sHu8
    377
udqg3v0ZL6h6sHu8  
   2018-11-27 09:12:56 +08:00 via Android
都散了吧,我觉得大概率是小天搞的鬼。😜你在外头乱搞我在家里乱搞哼!
csx163
    379
csx163  
   2018-11-27 09:57:11 +08:00
jd 能不能取消这种返利
pryhub
    380
pryhub  
   2018-11-27 10:00:04 +08:00
围观
zengzizhao
    381
zengzizhao  
   2018-11-27 10:08:34 +08:00
@liuyanjun0826 你的警告真是让人害怕啊,你真是比东哥还牛 B 啊
linxy
    382
linxy  
   2018-11-27 10:12:59 +08:00
真的太狠了,这至少收入有几百万了吧。。。
ruihe
    383
ruihe  
   2018-11-27 10:16:10 +08:00
@zomco
@zengzizhao
@brblm
@crack105
@envylee
@shanigan

进他的知乎看了下,头像直接吓蒙我,真的是宝藏,呵呵,不知道怎么贴图,给各位贴个网址吧
https://www.zhihu.com/people/liuyanjun0826/answers
allure1008
    384
allure1008  
   2018-11-27 10:20:42 +08:00
关注中。。
JDSecOffical
    385
JDSecOffical  
   2018-11-27 10:27:57 +08:00   ❤️ 4
感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。
janus77
    386
janus77  
   2018-11-27 10:29:23 +08:00
@JDSecOffical #385 新号哇?看名字像官方的,是不是真的啊?
PerFectTime
    387
PerFectTime  
   2018-11-27 10:32:06 +08:00
不知道楼上是不是官方。果然还是 V2 的工单厉害
18601294989
    388
18601294989  
   2018-11-27 10:34:52 +08:00
@liuyanjun0826 请问你是怎么解决的呢 手动吃瓜
tt67wq
    389
tt67wq  
   2018-11-27 10:36:46 +08:00
这是 Wy6RM7 是不是京东老板娘?
miyuki
    390
miyuki  
OP
   2018-11-27 10:38:30 +08:00
@JDSecOffical

建议完善一下风控问题,从 google 记录来看 "Wy6RM7" 的最早记录是今年 8 月份(实际开始行为可能更早)
lijiawei
    391
lijiawei  
   2018-11-27 10:48:27 +08:00
@xmlf #355 肯定不是呀
ffffish
    392
ffffish  
   2018-11-27 10:50:12 +08:00
@fffflyfish #132 哈哈哈哈 id 抱住
sergio10
    393
sergio10  
   2018-11-27 10:52:49 +08:00 via iPhone
13 楼活体
bwael
    394
bwael  
   2018-11-27 10:53:36 +08:00 via Android
写稿去,赚点稿费😂
lmfx89
    395
lmfx89  
   2018-11-27 10:54:06 +08:00
建议楼主保护好自己的隐私。
ffffish
    396
ffffish  
   2018-11-27 10:58:06 +08:00
新加坡无法复现 看来是修复了?
sobigfish
    397
sobigfish  
   2018-11-27 11:05:00 +08:00
京东联盟没发声 京东安全的微博没发声
ls 那个是假冒的官方,让大家偃旗息鼓的吧
w274189159
    398
w274189159  
   2018-11-27 11:09:24 +08:00
@sobigfish #397 微博里有京东客服回复里。内容是一样的 https://weibo.com/1419096542/H4qwdDT7R?type=comment#_rnd1543281259129
sobigfish
    399
sobigfish  
   2018-11-27 11:16:34 +08:00
@w274189159 #397 客服级别的回复我持怀疑态度, 因为这个 cps 账号有点久了,不是几个人投诉 不可能他们没注意到的
我 emai 到 [email protected] 6 月 14 日 回复说无异常,再发,19 日回复过说正在核实 就没有下文了
vvv3r
    400
vvv3r  
   2018-11-27 11:21:47 +08:00
之前了解过 cps 广告这块,简单说下自己的理解。
1. cps 广告,一般为第三方推广商或联盟站长;
2. 跟京东的关系?从被劫持的域名来看(简单搜了下 https://www.google.com.hk/search?newwindow=1&safe=strict&ei=C7T8W5jLHYT4vgTBrrOYDA&q=site%3Aunion-click.jd.com+inurl%3Ajdc )得知,域名为京东的广告推广链接,而后面的 d 参数对应的字段则是 cps 广告主在京东推广生成的(综合域名+参数+经验猜测)
3. 利益是什么? cps 广告商一般会在流量大的厂商(如 BATJ )注册去做广告推广,也就是做引流从而赚取佣金,佣金由流量大的厂商(如 BATJ )根据流量来计算费用
4. 劫持是什么情况?个人经验看来:cps 广告在用户访问京东后将返回的响应包劫持替换成对应 cps 广告从而最大化的去赚佣金(这里也就是去赚佣金)
5. 385 楼的回复,猜测应该是 JD 内部已经查到 cps 对应的广告联盟是谁了
另外,劫持一般都不是个人作案,互联网圈里不少做广告流量推广的厂商联合地区运营商暗箱搞这种。比如在双 11、618 等大流量的点,劫持一下带来的佣金岂止百万...
1  2  3  4  5  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5691 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 39ms · UTC 06:28 · PVG 14:28 · LAX 22:28 · JFK 01:28
Developed with CodeLauncher
♥ Do have faith in what you're doing.