V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zangbob
V2EX  ›  问与答

貌似御灵珠宝官网被人挂马了。。。比较好奇是怎么实现的跳转,抓了半天也没抓到。乃们谁想试试么?

  •  
  •   zangbob · 2015-12-16 22:31:45 +08:00 · 1853 次点击
    这是一个创建于 3268 天前的主题,其中的信息可能已经有所发展或是发生改变。

    打开后,随机时间跳转到一个网游 LandPage

    网址是: http://www.cnyu.com/

    比较好奇是怎么实现的跳转。。

    你们试一下能复现吗?(还是我自己电脑的问题?)

    第 1 条附言  ·  2015-12-16 23:40:15 +08:00
    已确认不是我自己电脑问题,也不是运营商劫持。。更不是来打广告的 @abelyao 2333...

    jquery-1.8.3.min.js 里被人加了点料~~如果有 V 友在 CNYU 的,记得有空搞一搞。。
    17 条回复    2015-12-17 00:08:18 +08:00
    abelyao
        1
    abelyao  
       2015-12-16 22:37:31 +08:00
    你要么是来打广告的,要么就是你运营商劫持,或者你电脑有问题。
    希望不是第一种,因为这方法太 low 了。
    zangbob
        2
    zangbob  
    OP
       2015-12-16 22:40:39 +08:00
    @abelyao 晕。。。我有必要打这广告么。。打开别的网站不跳,只有这个才跳。才怀疑是被挂马了。
    SquirrelMAN
        3
    SquirrelMAN  
       2015-12-16 22:49:13 +08:00
    没跳
    abelyao
        4
    abelyao  
       2015-12-16 22:49:40 +08:00
    @zangbob 所以说希望不是咯,我打开的时候没跳,江苏电信
    Daddy
        5
    Daddy  
       2015-12-16 22:55:15 +08:00
    @abelyao @SquirrelMAN 有跳,再看看, ns5n.com 的,代码粗查下,没找到。
    des
        6
    des  
       2015-12-16 23:01:40 +08:00
    运营商劫持。
    话说你不会抓包么?
    先打开 F12 也行啊
    abelyao
        7
    abelyao  
       2015-12-16 23:05:00 +08:00
    @zangbob
    @SquirrelMAN
    @Daddy
    @des

    听了 @Daddy 说的之后,我把 AdBlock 关掉再试了一次,在网页完全加载之后确实会跳转,可以肯定是网页某个脚本的问题,但 AdBlock 屏蔽了 38 个资源大部分是图片,粗略看了一下几个不是 .jpg 的也没找出是哪个导致跳转的。坐等结果。
    Daddy
        8
    Daddy  
       2015-12-16 23:11:46 +08:00
    @abelyao 我大奶牛同样屏蔽 N 多的轮换的图片,也跳,不过只跳了一次,再打开没有了,感觉会是 JS 脚本
    zangbob
        9
    zangbob  
    OP
       2015-12-16 23:17:03 +08:00
    @Daddy 嗯,应该是写入 cookie 之类只跳一次,我不太懂。
    我也是装了奶牛,照样跳。

    @des 在虚拟机里装了 HttpWatch ,正在找着玩。。。我可真够闲。
    Daddy
        10
    Daddy  
       2015-12-16 23:25:53 +08:00
    @zangbob JS 粗看了下,也没发现,除了 Google/Baidu 的 JS 没看。 以前,这样可以刷套杀软,因为有可能是挂马,手脚快,速度群发上报木马,就可以拿到正版杀软了。
    zangbob
        11
    zangbob  
    OP
       2015-12-16 23:33:00 +08:00
    @Daddy 找到了,在一个 JS 文件里写了 cookie 。。。以及跳转。只是不能确认是哪个文件被挂了。

    懒得帮别人排查了,我就是想确认是否像 @abelyao 说的,是不是我自己电脑的问题。。。

    要是自己电脑问题,就该电脑洁癖发作重作系统了。。 2333
    Daddy
        12
    Daddy  
       2015-12-16 23:37:39 +08:00
    @zangbob 继续用就是。哪个 JS ?我刚只是简单搜索下 ns5n.com ,没发现
    des
        13
    des  
       2015-12-16 23:40:39 +08:00
    zangbob
        14
    zangbob  
    OP
       2015-12-16 23:42:10 +08:00
    @Daddy /themes/new/js/jquery-1.8.3.min.js 这个,最后一行。
    zangbob
        15
    zangbob  
    OP
       2015-12-16 23:42:43 +08:00
    @des 对,这个里也有。。
    Daddy
        16
    Daddy  
       2015-12-16 23:50:39 +08:00
    @des @zangbob 嗯,都加工过,难怪我没搜索到
    des
        17
    des  
       2015-12-17 00:08:18 +08:00
    jquery-1.8.3.min.js:formatted:4505
    dt.asp?shanghai:285
    swop.public.js:18
    c.php?id=30045509:formatted:487
    skillButton.js:33
    dj.asp:55

    太多了。。。
    我一定是太闲了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5968 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 02:33 · PVG 10:33 · LAX 18:33 · JFK 21:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.