访问非 https 的网站都有可能被劫持,随机的,特别是第一次访问站点特容易出现,反正我访问 sina 、 sohu 、 csdn 、 51cto 都遇到过,其他站点就更不用说了。
现象是:网页上某个 js 被重复访问,比如 http://js.sohu.com/library/jquery-1.7.1.min.js 在请求搜狐科技频道时被请求了一次,然后又会被请求第二次,变成 http://js.sohu.com/library/jquery-1.7.1.min.js?_vv=20080808 ,后面这个参数是固定的,然后紧跟着就请求 http://p.haolew.com:7777/pt/pt.php?src=p0007&t=%E7%A7%91%E6%8A%80%E9%A2%91%E9%81%93-%E6%90%9C%E7%8B%90&ci=3702359731
src=p0007 也是固定的, t=就是网页 title ,后面 ci=不知道是啥
我是广西电信宽带用户,看了下 p.haolew.com 的 ip 地址是解析到南宁电信。
由于用的是 chrome 浏览器,直接显示的是全红色页面“要访问的网站包含恶意软件
目前 p.haolew.com 上的攻击程序可能会试图在您的计算机上安装危险程序来窃取或删除您的信息(例如:照片、密码、通讯内容和信用卡信息)。”
点详细,会看到“ Google 安全浏览功能最近在 it.sohu.com 上检测到了恶意软件。平常非常安全的网站有时也会感染恶意软件。检测到的恶意内容来自于 p.haolew.com ,这是个出了名的恶意软件散布方。”
现在不像以前只是右下角弹出广告了。这样完全影响正常浏览网页的,刷 f5 都不一定有用;但是如果能正常显示页面,却不会有上面的请求地址出现。
还是 chrome 强大,能有提示,我试了其他几种浏览器,比如 ie 和 firefox 居然没有反应。
1
rwzsycwan 2015-10-13 03:47:59 +08:00
同广西电信,没出现
|
2
cxbig 2015-10-13 05:04:37 +08:00
|
3
yyfearth 2015-10-13 05:58:02 +08:00
我怎么觉得是你的的 Chrome Extension 出问题了呢
|
4
KexyBiscuit 2015-10-13 06:01:07 +08:00 via Android
Microsoft Edge :啥?恶意网站?哦,都在沙盒里面呢。
|
5
des 2015-10-13 08:06:45 +08:00 via Android
@KexyBiscuit 然而密码已经被人偷走了
|
6
xuan880 2015-10-13 11:23:29 +08:00 via Android
火狐开启那个恶意网址功能也没有提示?他用的不也是谷歌数据库么。
|
7
eirk2004 2015-10-13 11:35:32 +08:00
有一套过滤设备,可以设置为访问指定 url 时替换内容。浏览器请求“ p.haolew.com:7777 ”,是因为你请求的 JS 文件的内容已经被替换了,因为文件下载可能比较快,这个设备会再请求一次保证源 JS 能下载成功
|
9
chinaglwo OP |
10
chinaglwo OP |
11
chinaglwo OP @cxbig
已经打 10000 号投诉了,电信网上投诉也发了,可电信说没查到,还说是我电脑问题或者浏览器问题。 看到很多人之前有类似情况,准备再等两天,如果电信不给解决,就投诉到工信部去。 像之前只是右下角有弹窗,至少我还能浏览网页,忍忍就算了。现在完全是影响浏览网页了。 |
13
eirk2004 2015-10-13 12:36:57 +08:00
@chinaglwo 除了找电信你没有任何办法的,上官网找在线客服,把抓包的截图发给他,告诉他已经获取了关键证据,如果不能解决就投诉工信部,电信就会督促承包商把劫持暂时关掉,当然过滤依旧存在。抓包截图要包含,劫持发生时的 ReTransmission 、根据“ follow tcp stream ”找到的劫持内容、伪造的数据包的 TTL 值,分两个图发给客服
|
14
kmahyyg 2015-10-13 12:50:05 +08:00
114dns 路过
|
15
ZavierXu 2015-10-13 13:09:31 +08:00
说的好像 Chrome 没有沙盒一样的
|
16
feuvan 2015-10-13 13:14:34 +08:00
全局走 vpn 的时代快来了。。
|
19
eirk2004 2015-10-13 16:32:07 +08:00
@rwzsycwan 我这是实战经验。投诉也要用一点技巧,毕竟客服都是外包的。
对于良心未泯的 ISP 打电话就行了,客服肯定知道有个推送系统,会帮你关掉; 其他 ISP ,首先你要用客服能明白的东西去描述你的问题,然后发送截图,告知你已掌握关键证据(这个证据非常重要),然后要求找工程师或者上级领导。等他们回电时,必须要有对方承认(或者默认)推送系统的相关对话,一般两次投诉就能解决问题。 以上未能解决,或者装傻不承认,凭你手中证据,去工信部投诉。 15 天未解决再次投诉。 以上经验仅限于电信、联通。如果对方来电,通话全程录音,言语逻辑清晰,态度坚决,不辱骂对方。 |
20
chinaglwo OP @rwzsycwan
你这个还好,至少不是提示恶意网页。 我今天中午把光猫重启了,到现在还没出现问题。不知道是电信那边关掉了推送,还是说因为我一直在线,没变过 ip ,所以他们可以控制给我推送? 反正也说明不是我电脑的问题了。 |
21
erevus 2015-10-13 18:01:33 +08:00
|
24
chinaglwo OP 发个图看看
|
26
543400 2015-10-13 22:26:13 +08:00 via Android
再一次提现了我国强大的开发能力以及对技术的锲而不舍的追求精神
|
28
lanlanlan 2015-10-13 23:12:14 +08:00
浙江电信表示:就这玩意有啥新奇的 我们都玩了这个 2015 年了..
tcp 劫持 js 文件 然后重新引入这个 js 后面加个"?" 如果这个 JS 是页面关键 JS 直接就异常了 比如秒拍等站点的自动播放就靠 JS 实现的 被劫持后就 Goodbye 了...这个东西你 127 也只能屏蔽广告没法阻挡劫持导致的页面异常.. 说说投诉的经历吧. 2014 年 11 月 开始出现 iframe 方式劫持 1W 投诉 各种路由器是不是有问题 电脑是不是中毒了等等等推脱 最后就推到外线(装宽带)的人 上门检查 最后不了了之. 2015 年 经历了 工信部工单投诉(结果被吃了 致电工信部说投诉工单没收到) 重复 2 次后 向对方索要投诉邮箱 邮件投诉...之后工信部讲投诉工单移交企业方(中国电信浙江分公司) 1W 号回电:我们没问题.. 重新致电工信部 这个没解决为什么不跟进了 各种转接到这个工单的处理人那边 被告知:工信部只受理话费突然少了等方向的争议 对于宽带运营商劫持弹广告的暂时不在他们的受理范围之内 详情可以参见电信服务什么什么的条例(这个真的忘了 当时查看了下都是手机通讯相关的 没涉及到宽带方面) 然后说了一下 他们说这一块 ISP 宽带劫持的东西他们有提案什么的 但是还一直在讨论中等等等...于是让我找省通讯管理局投诉试试. 省通讯管理局受理并跟进 电信临时加白宽带账号 回复省通讯管理局:“经仔细核查电信并没有这个问题” 省通讯管理局回电告知处理结果... 之后过了一个星期 又出现广告劫持了 呵呵哒.. 之后变成了循环投诉 劫持 -- 1W 号 你们老毛病又犯了 有完没完? -- 加白账号(期间加黑 区号+10000 明确告知省级单位来回复) 大概搞了一两个月 也算是真忍不住了 1W 号投诉之后 省单位回电说 已经屏蔽了等等 直接回复告诉他:“你们这套东西我都懂 但是你们这么放着玩 别逼我做个横幅啥的拉上朋友堵你们营业厅 反正我是干的出来这种事” 之后加白了 1~2 个月 再之后 间歇性出现劫持 直接 1W 号电话过去 投诉 “老毛病又犯了 弹广告了。。 IPxxx 域名 xxx ” 省单位回电后 就加白了... (语文不好 多多见谅 QWQ) |
29
chinaglwo OP |
30
chinaglwo OP |
31
honeycomb 2015-10-14 00:37:40 +08:00
|
32
KexyBiscuit 2015-10-14 05:42:48 +08:00 via Android
@des 登录不用 HTTPS 都是耍流氓。
|
33
des 2015-10-14 08:12:36 +08:00 via Android
@KexyBiscuit 只有登录也是然饼卵,拿到 cookie 想干嘛干嘛。好多时候你也不会去手动加个 s ,况且还能还能给你跳到 http 呢。估计等全都 https 了,它们还能给你代理成 http 呢
|
34
des 2015-10-14 08:19:05 +08:00 via Android
@des 不要以为做不出来,你想框架你的网页和插 js 这种是也能做出来啊。无非就是成本大了很多,看能不能接受而已
|
35
lanlanlan 2015-10-14 09:14:24 +08:00
@chinaglwo 已知的都是省级单位搞的鬼..
手机号码被误销号这种他们运营商还是愿意处理的。。 <<<最后 有个比较有意思的 其他地区运营商劫持 他们直接打死他挂广告 JS 的服务器 以暴制暴未尝不好啊 hhh |
36
erevus 2015-10-14 14:11:08 +08:00
为什么还没勇士上去清他数据库呢?
|
37
dolee 2015-10-15 11:18:32 +08:00
|
39
chinaglwo OP @dolee
是啊,我基本看网页都使用 chrome ,出现很频繁,打开几十个页面至少出现一两次。我用火狐、 IE 试过,打开几十个页面都不会出现,打开页面前我用 f12 观察,没发现 js 被劫持。 但是我也新安装了虚拟机,然后新装了 chrome ,没安装任何扩展和插件,也会被劫持,所以可以排除 chrome 的问题。 |
40
chinaglwo OP |
41
chinaglwo OP @dolee
火狐、 IE 不出现的具体原因不清楚,但是至少可以知道程序是可以根据 ua 和访问 url 才决定是否 js 劫持,不然你看政府网站,就不会被劫持吧。 |
42
mikeshinoda 2015-10-21 13:03:06 +08:00
我也是广西电信,校园宽带
我已经上报工信部了,然后南宁电信这边给我打了电话,也说查不出,他叫我提供下材料 我前一个账户也出现了这个情况,当时在 CNZZ 已经揪出了他们的统计代码,标题就明确写着”“广西电信右下角弹窗..”站点数据”,但是没有投诉 不过没保存好,被删了。现在重新收集中。 |
43
mikeshinoda 2015-10-21 13:05:42 +08:00
他们现在似乎把 p.haolew.com 解析到 127.0.0.1 了。然后变成了 ns1.qwhls.net
|
44
chinaglwo OP |
45
chinaglwo OP |
46
mikeshinoda 2015-10-21 23:16:32 +08:00
@chinaglwo 之前看有段时间用的 iframe 广告里面有 CNZZ 的 js 代码。现在我也找不到了
跟这里说的情况差不多。我那时候直接套插入广告的统计代码就看到的 https://www.rpk31.com/585.html |
47
tonnydan 2015-10-22 10:18:31 +08:00
企业光纤专线也被搞了,昨天投诉到工信部今天上午工信部的来电称弹出广告不是运营商的内容,要当事人自行联系 12300 或 12377 反映。。。
|
48
chinaglwo OP @mikeshinoda
这些畜生,随便搞下就几十万上百万的流量,利益多高啊。 |
50
mikeshinoda 2015-10-23 13:35:45 +08:00
|
51
tonnydan 2015-10-23 14:21:10 +08:00
@chinaglwo 现在变成 gg.jtertp.com 了
|
52
skybbz 2015-10-26 08:49:31 +08:00
有个简单办法解决这个问题,就是把你认为可能的广告域名加入到 hosts 配置文件当中。让广告在请求广告时找不到真正的广告服务器。具体如下:
1.找到 C:\WINDOWS\system32\drivers\etc\hosts 2.用管理员身份用 notepad(记事本)打开这个文件 3.把可疑的广告域名加进去,如 127.0.0.1 xx.ad.com (一行一个域名) 4.保存后,下次再打开网页应该就不会出现广告了。 如果还不明白,请看此网页: http://www.myhack58.com/Article/54/93/2011/29528.htm |
53
chinaglwo OP |
54
chinaglwo OP |
55
chinaglwo OP |