这是一个创建于 1938 天前的主题,其中的信息可能已经有所发展或是发生改变。
受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站
症状同两个月前的
https://www.v2ex.com/t/572057
https://www.v2ex.com/t/572031
症状同两个月前的
https://www.v2ex.com/t/572057
https://www.v2ex.com/t/572031
第 1 条附言 · 2019-08-12 12:46:53 +08:00
广州联通、南京联通、山东联通已恢复
根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
65 条回复 • 2020-04-23 20:38:28 +08:00
 |
1
dot2017 2019-08-04 00:17:39 +08:00
哦吼 这就很*了,骨干网的内鬼么
|
 |
2
yexm0 2019-08-04 00:23:04 +08:00
|
 |
4
CernetBoom 2019-08-04 03:37:54 +08:00 via Android
@yexm0 不止电信,联通移动 连科技网都是这样
|
 |
5
well666 2019-08-04 09:45:17 +08:00 via iPhone
狠
|
 |
6
mytsing520 2019-08-04 10:03:03 +08:00
上午 10 点,杭州电信测试已经恢复。
|
 |
7
Peanut666 2019-08-04 10:24:34 +08:00
四川电信,劫持依然存在
|
|
8
mytsing520 2019-08-04 10:32:13 +08:00
上午 10 点 05,杭州电信测试恢复劫持。
|
 |
9
lp10 2019-08-04 10:49:57 +08:00
2019-08-04 10:45 UTC+8
同 IP 无代理,mac Safari 访问正常,新 Edge 跳转菠菜 哈??? |
 |
10
Windelight 2019-08-04 10:50:34 +08:00 via Android  3
10 点 12 分,河北联通、河北移动仍未恢复
另外有趣的是河北联通跳转到一个 0031001569 点 res 点 websd8 点 com 的网站,河北移动跳转到 40010009 点 echatu 点 com 的网站 前者安装包叫 com.game.ddz-v1.0.0.5.apk ,后者叫 cf0728_channel_9.apk 前者下载地址是 app-eslz3u 点 openinstall 点 io/install/c/eyJkIjp7InNwcmVhZGVyIjoiMDAzMTAwMTU2OSJ9LCJtIjoiZnFJcGZ4ZDNpajRBQUFGc1dtVDBLUnNVTnVLWXU2VTRuNlNVcUlhVm1WVkVYUFAxRlNUc1h4S1dlUEE4X0NIelFmSSJ9 后边的地址是 apk 点 wanlongcaifu 点 com/v60/cf0728_channel_9 点 apk 经过查看,后者下载地址竟然还特么带 https?? 沃特玛现骗子还这么高级?? 经过百度和必应查询,之前本以为就是附近的固安万隆财富广场,结果一查不是,百度和必应复合结果如下 1.某些 seo 查询网站留下的一堆无意义历史记录 包括 70dir 点 com,chinaz 点 com,都是搜索引擎对这些网站的历史记录所留下的缓存 2.在 21CN 门户聚投诉下面一个 id 为 CN1012987 的投诉,大致意思是有人被微信上的推销读博 app,然后被骗钱,重点来了,那个 app 叫超飞娱乐,地址是 40011126 点 wanlongcaifu 点 com,后者页面完全一致!!! 3.还有一个更大的包,就是在必应上查到了某不知名的网址导航提供了公司名 地址是 zibo 点 26595 点 com/daohang/967086.html 那个公司叫做 淄博晖博投资有限公司 好了,收集到了以上信息,当然那个网址导航的信息真实性可疑,但是也要从别的地方入手了 首先我赶快下载了一个 Chrome Mobile,把原网址换成 40011126 那个,然后加上 https,好了 get 到了 https 证书,非常遗憾这特么用的是 Let's Encrypt,假设他们要是能用 EV SSL 的话那我不就........ 当然这个不存在了,下面就只能信一下那个网址导航了。 下面打开天眼查,输入该公司名称,真的查到了,法代叫做 于修强,该公司真的有一个备案叫做 淄博晖博投资有限公司万隆财富 的网站,地址同,备案号是 鲁 ICP 备 16020641 号,经工信部网站验证确定该备案主体-1 的备案号就是这个网站,然后直接打开就是最开始后者的页面 这个公司是 2015 年 11 月 12 日成立,备案是 2016 年 6 月 6 日 未完待续............. (上述域名请自动补齐 http/https 协议头和点) |
 |
11
dahounet 2019-08-04 11:01:44 +08:00 via Android
有人在骨干网(或者是某墙)上面搞劫持?
|
 |
12
jousca 2019-08-04 11:55:32 +08:00
四川移动刚才测试也是劫持依然存在
|
 |
13
scnace 2019-08-04 12:00:55 +08:00 via Android
浙江电信没挂代理跳转到 https://40010009.echatu.com/
|
 |
14
lzp7 2019-08-04 12:05:01 +08:00 via Android
山东移动稳定复现
|
|
15
lzp7 2019-08-04 12:06:49 +08:00 via Android
劫持地址和上面几楼不太一样
http://0031001569.gzxnlk.com/ |
|
16
jousca 2019-08-04 12:21:20 +08:00 1
@dahounet 灰色产业,在过滤设备上劫持某些非国内网站跳自己黑产上。内外勾结或者职务之便。知道对方和客户都无法投诉举证。
|
 |
18
derekwei 2019-08-04 15:51:37 +08:00
投诉给电信就给我我回了句“我们工程师没有检查到类似问题”,还要我提供访问网站的网址。
|
 |
19
loukky 2019-08-04 16:40:23 +08:00
|
 |
20
BlitheHusky 2019-08-04 17:30:26 +08:00 via Android
江苏电信稳定复现。
一开始拿手机发现正常,再看看是走了代理。😂😂😂 |
 |
21
ZRS 2019-08-04 18:09:58 +08:00
稳定复现
|
 |
22
ochatokori 2019-08-04 20:46:58 +08:00 via Android
广州移动 4g 复现
|
|
23
jousca 2019-08-04 20:55:28 +08:00
感觉这个方式就是典型的 BGP 劫持
|
|
24
CernetBoom 2019-08-04 21:02:27 +08:00 via Android
@jousca 哈? BGP Hijack 你 ICMP 还能通?
|
|
25
jousca 2019-08-04 21:03:07 +08:00
|
|
26
jousca 2019-08-04 21:05:52 +08:00
@CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由??
|
|
27
CernetBoom 2019-08-04 21:08:04 +08:00 via Android
|
|
28
jousca 2019-08-04 21:11:11 +08:00
@CernetBoom 观察到了。TCP 异常,而且出问题的地方都在关键出口,看来我在 16 楼推测是对的,就是利用 GFW 设备的灰产。ICMP 反而正常。
|
|
29
jousca 2019-08-04 21:16:48 +08:00
确认了一遍。墙外正常,包括 HK 都正常,出问题都在墙内。
|
|
30
jousca 2019-08-04 21:19:00 +08:00
 |
|
31
loukky 2019-08-04 21:25:48 +08:00
|
 |
32
bibiisme 2019-08-04 21:51:28 +08:00
教育网下午还有劫持,刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳,这个劫持的手也伸得太长了
https://s2.ax1x.com/2019/08/04/ecpyqA.png https://s2.ax1x.com/2019/08/04/ecpcVI.png |
 |
33
Liqianyu 2019-08-05 00:00:57 +08:00 via iPad
北京联通、北京移动、上海阿里云、杭州阿里云复现。
|
|
34
Liqianyu 2019-08-05 00:04:00 +08:00 via iPad
跟上一条
通过 IPIP 可以判断大陆整体都有劫持。 发链接会触发 V2EX 验证手机号要求。 |
 |
36
smileawei 2019-08-05 16:39:31 +08:00
查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的
|
|
37
smileawei 2019-08-05 16:46:41 +08:00
这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。
|
|
38
smileawei 2019-08-05 16:51:22 +08:00
|
 |
39
Kowloon 2019-08-05 16:54:42 +08:00 via iPhone
天津联通:复现。
香港宽频:正常。 |
|
40
Peanut666 2019-08-05 18:53:06 +08:00
这么高级权限的劫持,该往哪个部门投诉?
|
 |
41
tinyzhang 2019-08-06 14:17:43 +08:00
|
 |
42
Caussti 2019-08-06 15:08:46 +08:00
广州电信:复现
香港联通:正常 |
 |
43
EdifierDrew 2019-08-06 22:07:29 +08:00 via iPhone
|
 |
44
txydhr 2019-08-07 10:17:00 +08:00
给纪....检写举报...信?
|
 |
45
WGzeyu 2019-08-11 16:39:09 +08:00
@Windelight 现在是 2019 年 8 月 11 日 16:38:23,河北电信、河北联通仍未恢复
|
|
46
Windelight 2019-08-11 19:28:57 +08:00 via Android
我好像已经不能评论了
|
|
47
Windelight 2019-08-11 19:31:12 +08:00 via Android
|
|
48
Windelight 2019-08-11 19:38:18 +08:00 via Android
不过既然坑都留下了,能不填吗?
我把那天编辑好的就发出来吧 我又打开 Taob 无线端上的旺旺,找到 2 个月前花 5kuai9 买的 1 年 VIP 的天眼查 gongxiang 帐号,登录上去之后查到其公司邮箱为 zbhbtz 爱特 163 点 com,电话为 188 伍叁叁贰贰妖妖舞,剩下信息大家可以自己去公示网或者其它商业工具网站查,反正我不信他们可以实缴注册资本 500 万。 接着挖,这个人名下还有别的公司,叫做 桓台县城区全顺通讯器材销售部 ,类型为个体工商户。这个 ziben3 万我感觉这倒有可能实缴了。这次电话变了,是 189 伍叁叁陆叁妖妖灵,至于经营范围什么的大家可以自己查。 邮箱查询无果。 手机号查询结果: 百姓网本地招收银员,天眼查、企 cha 查、启 xin 宝、顺企网、各种公司黄页网等等等等的介绍 经过 SNS 查询,此人 koukou 号未知但上面写的是男 37 岁???? micro message 上写的是山东淄博男,就确定是你了!皮卡丘!不过好像没什么有用的信息。 同样的还有 alipay,这次获取到了这个 old 男人 ei wei 画质的照片,经校验是于某某,照片啥样大家自己 alipay 搜,还是处女座。 |
|
49
Windelight 2019-08-11 19:47:06 +08:00 via Android
目前更新一下,
河北联通宽带和 4G 跳转为 http 爱思://40010009 点 echatu 点 com 移动 4G 跳转到 http 艾斯://www 点 tt3sm4 点 cn 斜杠?signature=RUhTN3pKNHM0&num=1061 不明白后边的 sig 是什么意思 这个新的下载链接可特么长了 htt 劈://111 点 47 点 203 点 233 斜杠 apk/lxxfgj/c/eyJkIjp7InNpZ25hdHVyZSI6IlJVaFROM3BLTkhNMCIsIm51bSI6IjEwNjAifSwibSI6IkJEQlB6eU1ub1V3QUFBRnNnSDE5bjlLeC1WRmdVVUlEOGxkSkRaZHlMNjJLby1TbzJoWmlINFMtWTVjQnJaNUtZVmxQYWRjYjQ4MkV4Si1WV2o2blpOTW1KNTNhaHY5cm9oVTBMNUU2M0VHU2NwVkdWbkpFQ0xJRFBRc3QzeGtBWU5HX1VUTXh5SC1LWFROcUNOTVh6SGVOWjNocVY1Z3EtRlIwRlpaaFJ6a0dRVGpzdHBOczYtYlV1RzFHaDRxcGZ4azlsSGI1Q1ViZXNOQ0xDek13UUpVaFl3SmFPMm5MNGNWb1JpUDc2bGMifQ 斜杠 com 点 menghuan 点 mhyl-v1.6.0 点 apk 前边的 wanlongcaifu 没有变化 另外 openinstall.io 这个网站不知道大家有没有人想投诉一下? |
 |
51
Fangshing87 2019-08-12 03:38:48 +08:00 via Android
40010009 点 echatu 点 com
辽宁沈阳联通已被劫持 |
 |
52
Silently 2019-08-12 10:43:21 +08:00 via iPhone
广东联通 菠菜网
墙外梦幻娱乐 |
 |
55
diguoemo 2019-08-13 12:49:12 +08:00 via Android
四川联通 lte 还是被劫持
|
 |
56
laozhoubuluo 2019-08-13 22:33:19 +08:00
北京联通 宽带 TCP 仍然劫持
劫持前上一跳:219.158.15.38/AS4837/广州联通 北京移动 宽带 TCP 仍然劫持 劫持前上三跳(后两跳禁 Ping,没办法):211.136.67.45/AS56048/北京移动 |
 |
57
mnihyc 2019-08-14 05:03:10 +08:00
这太可怕了吧,刚刚测了一下确实 TCP 在出口倒二跳被劫持了
@jousca 根据这里面截图的内容找到一个 CMS,http://smc.5vl58stm.com/smc1/www/,搜到是这个东西 http://211.151.32.20/ ,貌似是自主研发的,但是这里面不存在 getOneDomain.php ,所以目测上面那个是被挖到洞然后黑掉了。 刚才大概看了一下似乎没有留下什么痕迹,毕竟没有源代码。 |
|
58
jousca 2019-08-14 20:22:25 +08:00
@mnihyc 那个文件在,注意大小写。http://smc.5vl58stm.com/smc1/www/getOneDomain.php
|
|
59
mnihyc 2019-08-17 11:45:08 +08:00
@jousca 我的意思是在 http://smc.5vl58stm.com/smc1/www 里找到的这个文件,但是使用同样 CMS 的看上去像官网 http://211.151.32.20/ ( http://www.515game.com ) 没有,再加上这两个网站都有一定概率在源代码的 head 标签后刷出加载 http://t.7gg.cc:88/j.js?MAC=747D245541A2 的 script 标签,说明是有很大可能是被黑了(个人推测)。
|
 |
60
Xusually 2019-08-20 12:38:19 +08:00
北京电信稳定复现
|
 |
61
chenyx9 2019-08-20 18:29:38 +08:00
东莞联通,依然被劫持。
|
 |
62
dyy1997 2019-08-22 16:34:57 +08:00
成都电信,跳转到 https:##www.jwhy520.com/3/200001/
|
 |
63
jy00566722 2020-02-13 12:59:40 +08:00
四川广安电信,现在还在。不过中转 url 挂了,出现错误页面。
|
|
64
jy00566722 2020-02-13 13:00:04 +08:00
劫持域名的所有者:[email protected]
|
 |
65
ObserverLight 2020-04-23 20:38:28 +08:00
@Windelight https://info.umeng.com/detail?id=75&cateId=1
流量劫持的问题,看过这篇友盟官方解释就可以明白了:这种问题既不是友盟的问题也不是 openinstall 的问题,而是发生在部分地区、部分运营商的“运营商”劫持。具体是不是运营商官方干的,我不敢说,但基本上可以肯定是运营商局端的网络路由被劫持了造成的。这种情况不应找友盟和 openinstall 解决,而是应该向运营商报障解决(如果是某些不良运营商所为的话,可以向工信部投诉这些运营商) |
Select Language