V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
This topic created in 2712 days ago, the information mentioned may be changed or developed.
curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
第一次返回
<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>
再请求一次返回
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
- 只在 http 会起作用
- 只识别 UA Windows
- 结合相关讨论可知覆盖范围为西南地区
Supplement 1 · Nov 26, 2018
任意地区(国内外)皆可复现
Supplement 2 · Nov 26, 2018
不排除这台节点的出口被人做了无差别劫持的可能
如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
Supplement 3 · Nov 26, 2018
抓包结果中恶意的 200 响应是抢答内容
tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
Supplement 4 · Nov 27, 2018
水落石出 #385 @JDSecOffical
感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。
 |
101
tatelucky Nov 26, 2018
@liuyanjun0826 都是拿钱做事的,你为什么这么秀?
|
 |
102
hheng101 Nov 26, 2018
如果是私人搞的,那真的早就财务自由了
|
 |
103
yd1044738303 Nov 26, 2018
搜了下 Wy6RM7,还不少相关的帖子
|
 |
104
yejinmo Nov 26, 2018
新加坡,没有
|
 |
105
goodryb Nov 26, 2018
 复现成功 0571 电信 |
 |
106
TomVista Nov 26, 2018
双十一那天赚了多少啊```
|
 |
107
xiaqi Nov 26, 2018 via Android
aws 美区成功复现
|
 |
109
yukiww233 Nov 26, 2018
Wy6RM7 一搜,已经持续几个月,按这个流量估计当事人早就捞够跑路了
|
 |
111
lizhenda Nov 26, 2018
内鬼这么猖獗?
|
 |
112
fbcskpebfr Nov 26, 2018 via Android  1
从楼上都能看出来,不少人都有惯性思维了,习惯性运营商背锅。怪不得有人敢这么动手脚
|
 |
113
atz Nov 26, 2018
看戏 mark
|
|
114
yukiww233 Nov 26, 2018
@icebreaker #71 想了想也是那么回事
|
 |
115
tsui Nov 26, 2018 via iPhone
用了下家里的 Comcast,依然是 Wy6RM7
这个劫持牛逼了 |
 |
116
Joyboo Nov 26, 2018
留名
|
 |
117
98jiang Nov 26, 2018
想看后续。。
|
 |
118
meik2333 Nov 26, 2018
北京联通,成功复现
|
 |
119
hws8033856 Nov 26, 2018
如果真是内鬼,这个鬼起码是已经渗透到高层了,肯定需要先搞定整条财务流程才可能把钱提出来。
但是如果是这个级别的内鬼,还需要这种小伎俩? |
 |
120
skylancer Nov 26, 2018
MITM 了解一下?
什么事都甩到人家身上说是内鬼真的好么? |
 |
121
coderscala Nov 26, 2018
持续关注
|
 |
122
Arrowing Nov 26, 2018
之前家里访问京东的 http 就会一直这样,有毒。
|
 |
123
PolarisTime Nov 26, 2018
香港 GIGSGIGSCLOUD 成功复现
|
 |
124
zephyru Nov 26, 2018
我这没有复现..
阿里云和杭州电信.. 改了改 UA 也没出现 |
 |
125
allen9527 Nov 26, 2018
复现成功,mark 看后续。
|
 |
126
py2ex Nov 26, 2018
|
 |
127
strive Nov 26, 2018
|
 |
128
heimeil Nov 26, 2018
@icebreaker 想想也不会啊,自己内部做手脚不就没人能知道了吧,搞了一道跳转,现在让人发现了不也是很傻吗
|
 |
129
ericgui Nov 26, 2018
圣地亚哥人民发来贺电:
[]( https://i.loli.net/2018/11/26/5bfb55079b1f6.png) |
 |
130
mydns Nov 26, 2018
东哥不在家,就可以乱来吗
|
 |
131
jiujiuKA Nov 26, 2018
wow 我还跟京东联盟发邮件讲说遇到了运营商劫持,没想到是内鬼
|
 |
132
fffflyfish Nov 26, 2018
mark,要火,看戏
|
|
133
fbcskpebfr Nov 26, 2018 via Android
@skylancer 全球都能复现,你这个 in middle 的 man 有点厉害哈
|
 |
134
ccnccy Nov 26, 2018 via iPhone 1
京东自己干的吧
京东又不是傻子 要不账号早干掉了 你们推广的再厉害,我自己劫持, 替换掉你的链接,帮它免费推广 |
 |
137
skadi Nov 26, 2018
whois 查出的东西不知道真假.
netname: CHINANET-SC descr: CHINANET Sichuan province network descr: Data Communication Division descr: China Telecom notify: [email protected] person: Xiaodong Shi nic-hdl: XS16-AP e-mail: [email protected] address: No.72,Wen Miao Qian Str. address: Data Communication Bureau Of Sichuan Province address: Chengdu address: PR China phone: +86-28-6190785 fax-no: +86-28-6190641 china telecom??? |
 |
138
aino Nov 26, 2018
坐等明天新闻
|
 |
139
shuangmu Nov 26, 2018 via iPhone
复现
|
|
141
strive Nov 26, 2018
<img src="https://i.loli.net/2018/11/26/5bfb58dc94863.png"/>
|
 |
142
zyp0921 Nov 26, 2018
还是可以复现耶,换了个谷歌版本就能复现了 , 有内鬼吗?这是 我擦勒
|
 |
143
zepto Nov 26, 2018
 0571 电信已经复现 |
 |
144
november Nov 26, 2018 2
复现成功。
感觉这个帖子会消失。 参考前些天的,关于 JD 第三方出售 macbook 展示机即将被起诉的那个帖子。 |
 |
145
chen26 Nov 26, 2018
求科普。。这么做的利益。。。
|
 |
147
tyhunter Nov 26, 2018
美国 加利福尼亚 成功复现
|
 |
148
wildcat007 Nov 26, 2018
mark
|
 |
150
dozer47528 Nov 26, 2018
上海电信成功复现
|
 |
152
xemtof Nov 26, 2018
上海电信成功复现
|
 |
153
zaqzaq0125 Nov 26, 2018
mark,等后续。
|
 |
154
HSvng Nov 26, 2018
持续关注。
|
 |
155
JaminT Nov 26, 2018
mark
|
 |
156
goofool Nov 26, 2018
我觉得也不一定是内鬼吧,也有可能服务器被劫持了
|
 |
157
111111111111 Nov 26, 2018 via Android
海外复现,不过需要改改 UA 头
|
|
158
fbcskpebfr Nov 26, 2018 via Android
@skylancer 如果可以的话,愿闻其详。确实没见过直接访问不劫持,换一个解析到西南地区的 IP 访问就劫持的情况
|
 |
159
564425833 Nov 26, 2018
大新闻
|
 |
160
xxlong Nov 26, 2018
后排看戏了
|
 |
161
3s6i2o Nov 26, 2018
等看后续吧
|
 |
162
love060701 Nov 26, 2018
厉害了。这得赚多少钱。
|
 |
163
pkoukk Nov 26, 2018
mark,这个瓜可不小
|
 |
164
youyaang Nov 26, 2018
后排看戏
|
 |
165
hinate Nov 26, 2018
会有 jd 的人内部调查吗...
|
 |
166
JRay Nov 26, 2018
这..就是表示所有请求那个域名的都被劫持了?
|
 |
168
jacklin96 Nov 26, 2018
这个 UA 已经封掉了 把 UA 删的只剩 Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 时成功复现
|
 |
169
77alex Nov 26, 2018
这个劫持厉害了,at 大佬出来处理掉这个推广账号吧
|
 |
170
Hoegl Nov 26, 2018
US, California 成功复现。
|
 |
171
irgil Nov 26, 2018
捞这么多,会被抓住吗?
|
 |
172
deadEgg Nov 26, 2018
深入了解一下,好像是运营商搞的鬼?
|
 |
173
bayker Nov 26, 2018
看戏,持续关注,
|
|
174
Hoegl Nov 26, 2018
广州电信也成功复现。
|
 |
177
toou123 Nov 26, 2018
mark,这也太……
|
 |
178
enenaaa Nov 26, 2018
太嚣张了, 不把东哥放眼里啊
|
 |
179
run2 Nov 26, 2018
我也就这个投诉过电信,也给 jd 的写过 email
我一直以为是成都电信的锅 对比试过电信宽带,电信移动数据,都有跳转和不正常的数据包 和 ack 联通移动数据下(其他相同,设备、浏览器、系统)就没有异常。 |
 |
180
houskii Nov 26, 2018
北京联通,成功复现
|
 |
181
ScottAlone Nov 26, 2018
如果非内部人员的话,推广可能产生的巨额奖励要如何提现呢..
|
 |
182
enjoyCoding Nov 26, 2018 via iPhone
杭州电信 没问题 浏览器输入 http 默认跳到 https 网络协议。
|
 |
185
badbye Nov 26, 2018
厉害了
|
 |
186
nicebird Nov 26, 2018
mark
|
 |
187
LiHaiWordGe Nov 26, 2018
啧啧啧 好猛,收入可观啊
|
 |
188
sunorg Nov 26, 2018
[]( https://imgchr.com/i/FAZyOe)
|
|
191
run2 Nov 26, 2018
这个服务器很可能是电信的一个 cdn,选择性的偶尔返回带 cps “错误”的首页的包 (不是普通 http 的回复,是比正常包早到)
这个是我电信投诉时的抓包 (怕被电信查到报复,涂了我的 IP )  |
 |
192
andyL Nov 26, 2018
好像是有大戏上演,后排关注先
|
 |
193
huangzhe8263 Nov 26, 2018
  国内国外均已复现 默默吃瓜  |
 |
194
Dreamerwwr Nov 26, 2018 via iPhone
这个很利益,关注。
|
 |
195
stop9125 Nov 26, 2018
万一有封口费呢
|
 |
196
ranxfan Nov 26, 2018
围观......
|
 |
197
memorycancel Nov 26, 2018
吃枣💊
|
|
198
pkoukk Nov 26, 2018
|
 |
199
taikobo Nov 26, 2018
|
|
200
taikobo Nov 26, 2018
|
Select Language