V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
This topic created in 2712 days ago, the information mentioned may be changed or developed.
curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
第一次返回
<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>
再请求一次返回
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
- 只在 http 会起作用
- 只识别 UA Windows
- 结合相关讨论可知覆盖范围为西南地区
Supplement 1 · Nov 26, 2018
任意地区(国内外)皆可复现
Supplement 2 · Nov 26, 2018
不排除这台节点的出口被人做了无差别劫持的可能
如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
Supplement 3 · Nov 26, 2018
抓包结果中恶意的 200 响应是抢答内容
tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
Supplement 4 · Nov 27, 2018
水落石出 #385 @JDSecOffical
感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。
 |
1
gy6221 Nov 26, 2018
这看起来更像是运营商干的
|
 |
2
ysc3839 Nov 26, 2018 via Android
“只在 http 会起作用”就无法排除中间人攻击的可能性了。
|
 |
3
miyuki OP |
 |
5
zbinlin Nov 26, 2018
查了下:
``` whois 182.131.4.1 ``` 有个 `Data Communication Bureau Of Sichuan Province` 地址,然后百度了下,有惊喜 /dog |
 |
6
jimchen9999 Nov 26, 2018
英国伦敦 成功复现
|
 |
7
sutra Nov 26, 2018
182.131.4.1 Data Communication Bureau Of Sichuan Province 然后你懂的
|
|
8
sutra Nov 26, 2018
你换成别的 IP,比如 curl -v http://61.174.55.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" 就挺干净。
|
 |
9
mytsing520 PRO Google Cloud 香港,复现
|
 |
10
liuyanjun0826 Nov 26, 2018
login as: root
[email protected]'s password: Linux vultr.guest 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. Last login: Sat Nov 24 09:54:43 2018 from 112.246.226.63 root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# New Jersey Vultr |
 |
11
ericbize Nov 26, 2018 via iPhone
@liuyanjun0826 ip 暴露了
line 2 |
|
12
liuyanjun0826 Nov 26, 2018
@ericbize 对阿,就是为了验证是 New Jersey Vultr,有什么问题?
|
|
13
liuyanjun0826 Nov 26, 2018
利益相关,京东员工,警告楼主不要造谣
|
|
14
zbinlin Nov 26, 2018  7
@liuyanjun0826 hehe,这个 UA 被“你们”加入白名单了吧。切实,直接用这个 UA 已经无法复现了,不过,随便改下 UA 里的字符,例如改下 chrome 的版本号,就可以重新重现了。
PS:这个帖子可能已经被有心人“看到了” |
|
15
liuyanjun0826 Nov 26, 2018
@zbinlin 与我联系,我来处理
|
 |
16
johnnie502 Nov 26, 2018
美国 comcast 还是能复现
|
|
17
mytsing520 PRO  Google Cloud 台湾彰化截图 这一来呢还来了两次。。 顺带把截图保存时间也放上来,免得被说成是 PS:  有些人呢是真的不识好人心。。 |
 |
18
Sweden Nov 26, 2018 via Android
欧洲 telenet 成功复现
|
 |
19
lihongming Nov 26, 2018 via iPhone
人在加拿大,现在仍可复现 @刘强东
|
 |
20
Suzutan Nov 26, 2018 via Android
四川电信 复现  美国洛杉矶,美国 Choopa,复现 |
 |
21
sdshdv Nov 26, 2018 via Android
这可算是搞出大新闻了
|
 |
22
7654 Nov 26, 2018
@liuyanjun0826 #13 wy6rm7 是哪个渠道能说说吗,不是一般人哇
|
 |
23
qianmeng Nov 26, 2018 via Android
现在老板消停了,下面的人就活跃起来了,我这里没看到,估计不是目标地区
|
 |
24
rayhy Nov 26, 2018 via Android
😑谁能帮忙解释下这是啥意思吗。。不太懂唉
|
 |
26
v2chou Nov 26, 2018
这 大佬 大佬 推广都不用了 直接收入
|
 |
28
cnkuner Nov 26, 2018 via Android
大家估计一下每天收入能到什么量级,我感觉一天等于一年工资妥妥的。
|
 |
29
gimp Nov 26, 2018
哈尔滨移动复现成功
|
 |
30
halouha Nov 26, 2018
香港复现成功
|
 |
31
bmos Nov 26, 2018 5
@rayhy union.*是京东推广链接,通过这个链接购买的人,京东会给推广人结算提成。相当于你要去超市,我在路上偷偷把你劫持,贴一个标签,说是我带来的人,你买东西后,超市根据你买的商品给我结算一定百分比的提成。
|
 |
32
CasperLee Nov 26, 2018
进来一脸懵,出去一脸懵,有没有大佬给说说这是什么的?
|
 |
33
reus Nov 26, 2018
运营商劫持也是有可能的,http 可以篡改
|
|
35
cnkuner Nov 26, 2018 via Android
@CasperLee 一般来说运营商劫持不会有这么广的范围,从目前复现的情况看,更可能是狗东内部在部署的时候做了手脚。不过也有其他的可能性。
|
 |
36
ScotGu Nov 26, 2018
刚搞了个美国 VPS,复现达成~
对比起,某些人“警告” LZ 的言论我没憋住~ 就算不是 JD 正式员工,这种 IDC 级别的劫持能过返利系统的风控? |
 |
37
Zeonjl Nov 26, 2018 via iPhone
真这样 jd 惠报警抓人吗?
|
 |
38
jLR8cY1y4L15vs2v Nov 26, 2018 via Android
堂而皇之薅公司的羊毛,说明京东 IT 部门管理不行
|
 |
39
fhefh Nov 26, 2018 1
美国复现
 |
 |
40
leido Nov 26, 2018 via Android
玛德狗东,真以为四川人看不懂么
|
 |
41
vertion Nov 26, 2018
广州,香港,及东京均可复现
|
 |
43
hyshuang2006 Nov 26, 2018
谁去微博 @ 京东,就可以把事情弄大啦!
|
 |
44
JmmBite Nov 26, 2018
http://127.0.0.1/?cdn=hisnum
|
 |
45
Osk Nov 26, 2018 via Android
联通网络手机 4G 热点无法复现,
电信网络从今年我换宽带后就这样,http 会被加小尾巴。 Windows 10 平台,切换网络时运行了 ipconfig /flushdns,隐身模式访问 jd.com ,先测试联通,直接跳转到 https://www.jd.com ,中间怎么跳的不知道,但最终访问的地址是干净的。然后换到电信网络,关闭窗口,flushdns,首次访问非 http 100%跳转到 https 的 union 地址。 我换宽带后电信就是这样的,之前我还想去工信部投诉电信。 |
|
46
Osk Nov 26, 2018 via Android
信置:四川联通,四川电信
|
 |
47
ohmyzsh Nov 26, 2018 via Android 9
利益相关,"警告楼主"?!
MDZZ |
 |
48
justff Nov 26, 2018 11
@liuyanjun0826 这就是你们京东的做事态度?警告发现问题的人?
|
 |
49
Rorysky Nov 26, 2018 via iPhone
@liuyanjun0826 赶紧去发个微博,@ 你们大佬
|
 |
51
lll4m Nov 26, 2018
这个问题大概半年前我就有见过,在广州。不过对本人购物没有影响就无视了
|
 |
52
FakeLeung Nov 26, 2018
广东电信复现成功,bwg 凤凰城 vps 复现不成功:
 这一天的收入极其可观啊。 |
 |
54
zhuxinyu Nov 26, 2018
利益相关?
|
 |
55
dangge Nov 26, 2018
|
 |
56
xiaoyangsa Nov 26, 2018
@liuyanjun0826 666
|
 |
57
zr8657 Nov 26, 2018
@liuyanjun0826 可以,这很京东
|
 |
58
snw Nov 26, 2018 via Android
猜测是 CDN 所在地的 ISP 劫持的。一个十多年前的帖子:
https://bbs.tianya.cn/m/post-284-52975-1.shtml |
 |
59
maroon5 Nov 26, 2018
还真是能复现
|
 |
61
asd123456cxz Nov 26, 2018
请问各位大佬这个。。是怎么发现的?感觉好厉害
|
 |
62
yorks Nov 26, 2018
https://i.loli.net/2018/11/26/5bfb4aca1412c.png 嗯,有 ua 有 Windows,ua 的其他字眼随便改改第一次肯定能中。看上去是对 windows 的 ua 做了 hash。
|
 |
63
digimoon Nov 26, 2018
成功复现,不知道这是什么时候开始的,一天能赚多少呢?
|
 |
64
123s Nov 26, 2018
可怕
|
 |
65
o0 Nov 26, 2018
感觉闹得挺火的,看来这个账户别想结算了。
|
 |
66
wibile Nov 26, 2018
大新闻啊,我还以为只是运营商的小伎俩。。。。厉害了!!!!
|
 |
67
Mysqto Nov 26, 2018
换个 UA 本地电信、瓦工 HK、LA 和 GCP HK、TW 以及 azure 和 AWS 均能复现
|
 |
68
cncaihua Nov 26, 2018
这贴要留名吧,虽然我啥也看不懂。
|
 |
69
mohoumk2 Nov 26, 2018 via Android
警告楼主的怕不是就是劫持的人
|
 |
70
46fo Nov 26, 2018
3 台 vps 轻轻松松复现
|
 |
71
icebreaker Nov 26, 2018 via Android 6
猜测是公司自己搞得,可以覆盖别家的推广链接。不然那么多钱能领出来吗?领几百万的财务不会核实流量来源吗,都不是傻子。
|
 |
72
Xiaomage2333 Nov 26, 2018 via Android
vultr 日本东京,复现成功~
|
 |
73
18601294989 Nov 26, 2018
Wy6RM7 这个人赚翻了吧
|
 |
74
goofool Nov 26, 2018
8 月份有人在路由器论坛提过
http://koolshare.cn/thread-145660-1-1.html |
 |
75
jackkate815 Nov 26, 2018 via iPhone
关注.......
|
 |
76
YakuMioto Nov 26, 2018
Mark.
|
 |
77
exkernel Nov 26, 2018
持续关注
|
 |
78
shanlan Nov 26, 2018
阿里云
 |
|
79
cncaihua Nov 26, 2018
坐等分钱
|
 |
80
tatelucky Nov 26, 2018
杭州 复现成功
|
 |
81
SimbaPeng Nov 26, 2018
6 阿
|
 |
82
zdd2389 Nov 26, 2018
nb
|
 |
83
mawenjian Nov 26, 2018 via iPhone
如果不能解决问题,就解决发现问题的人。没错,这很“利益相关”。
|
 |
84
amew Nov 26, 2018
多地址复现,6666
|
 |
85
YOOHUU Nov 26, 2018
广州 虚拟机瞧了下没有
|
 |
86
jingyulong Nov 26, 2018
好像 很厉害的样子
|
 |
87
pepesii Nov 26, 2018
成都电信复现
|
 |
88
taozi00 Nov 26, 2018
完全没错啊,真的是利益相关,哈哈哈哈
|
 |
89
ranleng Nov 26, 2018 via Android
啧啧啧。
|
 |
90
SKull4 Nov 26, 2018
有了 Wy6RM7 这个标示是不是就能查出是谁了
|
 |
91
hheng101 Nov 26, 2018
太魔幻了吧。总觉得不可思议
|
 |
92
mikewoo Nov 26, 2018
那个号称员工还警告楼主的,这是什么神操作啊
|
|
93
7654 Nov 26, 2018
@icebreaker #71 脑洞可以啊
|
 |
94
lonccc Nov 26, 2018
|
 |
95
hezhile Nov 26, 2018
广州移动 貌似没有
|
 |
96
ikaros Nov 26, 2018
我也记得至少半年前就有了,不过当时是直接浏览器输的网址
|
 |
97
ken863103 Nov 26, 2018 1
|
 |
98
hellojay Nov 26, 2018
|
 |
99
smallQ Nov 26, 2018
吃瓜看戏
|
 |
100
cai314494687 Nov 26, 2018
深圳复现
|
Select Language