工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2610 天前的主题,其中的信息可能已经有所发展或是发生改变。
curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
第一次返回
<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>
再请求一次返回
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
- 只在 http 会起作用
- 只识别 UA Windows
- 结合相关讨论可知覆盖范围为西南地区
第 1 条附言 · 2018 年 11 月 26 日
任意地区(国内外)皆可复现
第 2 条附言 · 2018 年 11 月 26 日
不排除这台节点的出口被人做了无差别劫持的可能
如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
第 3 条附言 · 2018 年 11 月 26 日
抓包结果中恶意的 200 响应是抢答内容
tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
第 4 条附言 · 2018 年 11 月 27 日
水落石出 #385 @JDSecOffical
感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。
 |
1
gy6221 2018 年 11 月 26 日
这看起来更像是运营商干的
|
 |
2
ysc3839 2018 年 11 月 26 日 via Android
“只在 http 会起作用”就无法排除中间人攻击的可能性了。
|
 |
3
miyuki OP |
 |
5
zbinlin 2018 年 11 月 26 日
查了下:
``` whois 182.131.4.1 ``` 有个 `Data Communication Bureau Of Sichuan Province` 地址,然后百度了下,有惊喜 /dog |
 |
6
jimchen9999 2018 年 11 月 26 日
英国伦敦 成功复现
|
 |
7
sutra 2018 年 11 月 26 日
182.131.4.1 Data Communication Bureau Of Sichuan Province 然后你懂的
|
|
8
sutra 2018 年 11 月 26 日
你换成别的 IP,比如 curl -v http://61.174.55.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" 就挺干净。
|
 |
9
mytsing520 PRO Google Cloud 香港,复现
|
 |
10
liuyanjun0826 2018 年 11 月 26 日
login as: root
[email protected]'s password: Linux vultr.guest 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. Last login: Sat Nov 24 09:54:43 2018 from 112.246.226.63 root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# New Jersey Vultr |
 |
11
ericbize 2018 年 11 月 26 日 via iPhone
@liuyanjun0826 ip 暴露了
line 2 |
|
12
liuyanjun0826 2018 年 11 月 26 日
@ericbize 对阿,就是为了验证是 New Jersey Vultr,有什么问题?
|
|
13
liuyanjun0826 2018 年 11 月 26 日
利益相关,京东员工,警告楼主不要造谣
|
|
14
zbinlin 2018 年 11 月 26 日  7
@liuyanjun0826 hehe,这个 UA 被“你们”加入白名单了吧。切实,直接用这个 UA 已经无法复现了,不过,随便改下 UA 里的字符,例如改下 chrome 的版本号,就可以重新重现了。
PS:这个帖子可能已经被有心人“看到了” |
|
15
liuyanjun0826 2018 年 11 月 26 日
@zbinlin 与我联系,我来处理
|
 |
16
johnnie502 2018 年 11 月 26 日
美国 comcast 还是能复现
|
|
17
mytsing520 PRO  Google Cloud 台湾彰化截图 这一来呢还来了两次。。 顺带把截图保存时间也放上来,免得被说成是 PS:  有些人呢是真的不识好人心。。 |
 |
18
Sweden 2018 年 11 月 26 日 via Android
欧洲 telenet 成功复现
|
 |
19
lihongming 2018 年 11 月 26 日 via iPhone
人在加拿大,现在仍可复现 @刘强东
|
 |
20
Suzutan 2018 年 11 月 26 日 via Android
四川电信 复现  美国洛杉矶,美国 Choopa,复现 |
 |
21
sdshdv 2018 年 11 月 26 日 via Android
这可算是搞出大新闻了
|
 |
22
7654 2018 年 11 月 26 日
@liuyanjun0826 #13 wy6rm7 是哪个渠道能说说吗,不是一般人哇
|
 |
23
qianmeng 2018 年 11 月 26 日 via Android
现在老板消停了,下面的人就活跃起来了,我这里没看到,估计不是目标地区
|
 |
24
rayhy 2018 年 11 月 26 日 via Android
😑谁能帮忙解释下这是啥意思吗。。不太懂唉
|
 |
26
v2chou 2018 年 11 月 26 日
这 大佬 大佬 推广都不用了 直接收入
|
 |
28
cnkuner 2018 年 11 月 26 日 via Android
大家估计一下每天收入能到什么量级,我感觉一天等于一年工资妥妥的。
|
 |
29
gimp 2018 年 11 月 26 日
哈尔滨移动复现成功
|
 |
30
halouha 2018 年 11 月 26 日
香港复现成功
|
 |
31
bmos 2018 年 11 月 26 日 5
@rayhy union.*是京东推广链接,通过这个链接购买的人,京东会给推广人结算提成。相当于你要去超市,我在路上偷偷把你劫持,贴一个标签,说是我带来的人,你买东西后,超市根据你买的商品给我结算一定百分比的提成。
|
 |
32
CasperLee 2018 年 11 月 26 日
进来一脸懵,出去一脸懵,有没有大佬给说说这是什么的?
|
 |
33
reus 2018 年 11 月 26 日
运营商劫持也是有可能的,http 可以篡改
|
|
35
cnkuner 2018 年 11 月 26 日 via Android
@CasperLee 一般来说运营商劫持不会有这么广的范围,从目前复现的情况看,更可能是狗东内部在部署的时候做了手脚。不过也有其他的可能性。
|
 |
36
ScotGu 2018 年 11 月 26 日
刚搞了个美国 VPS,复现达成~
对比起,某些人“警告” LZ 的言论我没憋住~ 就算不是 JD 正式员工,这种 IDC 级别的劫持能过返利系统的风控? |
 |
37
Zeonjl 2018 年 11 月 26 日 via iPhone
真这样 jd 惠报警抓人吗?
|
 |
38
jLR8cY1y4L15vs2v 2018 年 11 月 26 日 via Android
堂而皇之薅公司的羊毛,说明京东 IT 部门管理不行
|
 |
39
fhefh 2018 年 11 月 26 日 1
美国复现
 |
 |
40
leido 2018 年 11 月 26 日 via Android
玛德狗东,真以为四川人看不懂么
|
 |
41
vertion 2018 年 11 月 26 日
广州,香港,及东京均可复现
|
 |
43
hyshuang2006 2018 年 11 月 26 日
谁去微博 @ 京东,就可以把事情弄大啦!
|
 |
44
JmmBite 2018 年 11 月 26 日
http://127.0.0.1/?cdn=hisnum
|
 |
45
Osk 2018 年 11 月 26 日 via Android
联通网络手机 4G 热点无法复现,
电信网络从今年我换宽带后就这样,http 会被加小尾巴。 Windows 10 平台,切换网络时运行了 ipconfig /flushdns,隐身模式访问 jd.com ,先测试联通,直接跳转到 https://www.jd.com ,中间怎么跳的不知道,但最终访问的地址是干净的。然后换到电信网络,关闭窗口,flushdns,首次访问非 http 100%跳转到 https 的 union 地址。 我换宽带后电信就是这样的,之前我还想去工信部投诉电信。 |
|
46
Osk 2018 年 11 月 26 日 via Android
信置:四川联通,四川电信
|
 |
47
ohmyzsh 2018 年 11 月 26 日 via Android 9
利益相关,"警告楼主"?!
MDZZ |
 |
48
justff 2018 年 11 月 26 日 11
@liuyanjun0826 这就是你们京东的做事态度?警告发现问题的人?
|
 |
49
Rorysky 2018 年 11 月 26 日 via iPhone
@liuyanjun0826 赶紧去发个微博,@ 你们大佬
|
 |
51
lll4m 2018 年 11 月 26 日
这个问题大概半年前我就有见过,在广州。不过对本人购物没有影响就无视了
|
 |
52
FakeLeung 2018 年 11 月 26 日
广东电信复现成功,bwg 凤凰城 vps 复现不成功:
 这一天的收入极其可观啊。 |
 |
54
zhuxinyu 2018 年 11 月 26 日
利益相关?
|
 |
55
dangge 2018 年 11 月 26 日
|
 |
56
xiaoyangsa 2018 年 11 月 26 日
@liuyanjun0826 666
|
 |
57
zr8657 2018 年 11 月 26 日
@liuyanjun0826 可以,这很京东
|
 |
58
snw 2018 年 11 月 26 日 via Android
猜测是 CDN 所在地的 ISP 劫持的。一个十多年前的帖子:
https://bbs.tianya.cn/m/post-284-52975-1.shtml |
 |
59
maroon5 2018 年 11 月 26 日
还真是能复现
|
 |
61
asd123456cxz 2018 年 11 月 26 日
请问各位大佬这个。。是怎么发现的?感觉好厉害
|
 |
62
yorks 2018 年 11 月 26 日
https://i.loli.net/2018/11/26/5bfb4aca1412c.png 嗯,有 ua 有 Windows,ua 的其他字眼随便改改第一次肯定能中。看上去是对 windows 的 ua 做了 hash。
|
 |
63
digimoon 2018 年 11 月 26 日
成功复现,不知道这是什么时候开始的,一天能赚多少呢?
|
 |
64
123s 2018 年 11 月 26 日
可怕
|
 |
65
o0 2018 年 11 月 26 日
感觉闹得挺火的,看来这个账户别想结算了。
|
 |
66
wibile 2018 年 11 月 26 日
大新闻啊,我还以为只是运营商的小伎俩。。。。厉害了!!!!
|
 |
67
Mysqto 2018 年 11 月 26 日
换个 UA 本地电信、瓦工 HK、LA 和 GCP HK、TW 以及 azure 和 AWS 均能复现
|
 |
68
cncaihua 2018 年 11 月 26 日
这贴要留名吧,虽然我啥也看不懂。
|
 |
69
mohoumk2 2018 年 11 月 26 日 via Android
警告楼主的怕不是就是劫持的人
|
 |
70
xdeng 2018 年 11 月 26 日
3 台 vps 轻轻松松复现
|
 |
71
icebreaker 2018 年 11 月 26 日 via Android 6
猜测是公司自己搞得,可以覆盖别家的推广链接。不然那么多钱能领出来吗?领几百万的财务不会核实流量来源吗,都不是傻子。
|
 |
72
Xiaomage2333 2018 年 11 月 26 日 via Android
vultr 日本东京,复现成功~
|
 |
73
18601294989 2018 年 11 月 26 日
Wy6RM7 这个人赚翻了吧
|
 |
74
goofool 2018 年 11 月 26 日
8 月份有人在路由器论坛提过
http://koolshare.cn/thread-145660-1-1.html |
 |
75
jackkate815 2018 年 11 月 26 日 via iPhone
关注.......
|
 |
76
YakuMioto 2018 年 11 月 26 日
Mark.
|
 |
77
exkernel 2018 年 11 月 26 日
持续关注
|
 |
78
shanlan 2018 年 11 月 26 日
阿里云
 |
|
79
cncaihua 2018 年 11 月 26 日
坐等分钱
|
 |
80
tatelucky 2018 年 11 月 26 日
杭州 复现成功
|
 |
81
SimbaPeng 2018 年 11 月 26 日
6 阿
|
 |
82
zdd2389 2018 年 11 月 26 日
nb
|
 |
83
mawenjian 2018 年 11 月 26 日 via iPhone
如果不能解决问题,就解决发现问题的人。没错,这很“利益相关”。
|
 |
84
amew 2018 年 11 月 26 日
多地址复现,6666
|
 |
85
YOOHUU 2018 年 11 月 26 日
广州 虚拟机瞧了下没有
|
 |
86
jingyulong 2018 年 11 月 26 日
好像 很厉害的样子
|
 |
87
pepesii 2018 年 11 月 26 日
成都电信复现
|
 |
88
taozi00 2018 年 11 月 26 日
完全没错啊,真的是利益相关,哈哈哈哈
|
 |
89
ranleng 2018 年 11 月 26 日 via Android
啧啧啧。
|
 |
90
SKull4 2018 年 11 月 26 日
有了 Wy6RM7 这个标示是不是就能查出是谁了
|
 |
91
hheng101 2018 年 11 月 26 日
太魔幻了吧。总觉得不可思议
|
 |
92
mikewoo 2018 年 11 月 26 日
那个号称员工还警告楼主的,这是什么神操作啊
|
|
93
7654 2018 年 11 月 26 日
@icebreaker #71 脑洞可以啊
|
 |
94
lonccc 2018 年 11 月 26 日
|
 |
95
hezhile 2018 年 11 月 26 日
广州移动 貌似没有
|
 |
96
ikaros 2018 年 11 月 26 日
我也记得至少半年前就有了,不过当时是直接浏览器输的网址
|
 |
97
ken863103 2018 年 11 月 26 日 1
|
 |
98
hellojay 2018 年 11 月 26 日
|
 |
99
smallQ 2018 年 11 月 26 日
吃瓜看戏
|
 |
100
cai314494687 2018 年 11 月 26 日
深圳复现
|
Select Language