WARNING: malicious javascript detected on this domain
wilbur · 2015-03-27 12:51:59 +08:00 · 7051 次点击这是一个创建于 3528 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天翻墙看一些网站(未被和谐的网站)的时候,会不停的弹alert警告,内容就是WARNING: malicious javascript detected on this domain,用firebug看了下代码,貌似是网页被插入了如下代码
<script async="" src="https://github.com/cn-nytimes/">
alert("WARNING: malicious javascript detected on this domain")
</script>
不是我一个人这样吧?
 |
1
lgs821 2015-03-27 12:54:24 +08:00
今天好像很多都出现这个额问题了
|
 |
2
egen 2015-03-27 12:55:28 +08:00 via iPhone
我今天也遇到,在访问peopel.com.cn看新闻的时候,我用的是ss.com的服务,难道和这个有关?
|
 |
3
wilbur OP 貌似许多人都遇到了,这个帖子里说是因为github受到ddos攻击引起的
|
|
4
wilbur OP |
 |
5
devz1984 2015-03-27 12:58:47 +08:00
遇到了。
我也是在翻墙的时候看到的。 百度, 煎蛋, |
|
6
devz1984 2015-03-27 12:59:52 +08:00
|
 |
7
ooxxcc 2015-03-27 13:01:14 +08:00
一阁 @yegle · 18m 18 minutes ago
看起来似乎是这样的:国内好多网站上嵌入的某个js会自动载入 http://github.com/greatfire/ 和 http://githu.com/cn-nytimes/ ,达到DDoS效果。GitHub看到大量流量和referer信息后决定这两个URL返回javascript |
 |
8
sdysj 2015-03-27 13:02:21 +08:00
这下牛大法了。。。
|
|
9
ooxxcc 2015-03-27 13:04:42 +08:00
然后那个页面是百度联盟的广告JS
后来的情况是国内正常,翻墙返回恶意js,不过无法稳定复现 目前不清楚是GFW搞的还是百度搞的 |
|
10
wilbur OP 应该这样把,原来还可以这样ddos,新技能get。
|
|
11
devz1984 2015-03-27 13:07:24 +08:00
|
 |
12
phoeagon 2015-03-27 13:11:39 +08:00  1
不過不管是國際國內開不開代理開不開Adblock我都不能復現。。。
|
 |
13
bingu 2015-03-27 13:12:32 +08:00
 |
|
15
ooxxcc 2015-03-27 13:14:36 +08:00
|
 |
19
bibizhang 2015-03-27 13:17:19 +08:00
我也是
|
 |
20
Twinkle 2015-03-27 13:17:37 +08:00
简直了
|
 |
21
lliioogg 2015-03-27 13:18:26 +08:00
刚才我妹问了我半天。。
|
|
22
ooxxcc 2015-03-27 13:18:46 +08:00
排查了一下不是百度搞得,就是GFW替换了返回内容。。。。太强大了
|
|
23
ooxxcc 2015-03-27 13:19:33 +08:00
|
 |
24
xieyudi1990 2015-03-27 13:22:44 +08:00 1
Comcast线路, 有这个问题.
用搬瓦工的HE线路, 没有这个问题. 抓包发现是百度站长统计js脚本里被插入了奇怪的东西, 然后会执行 https://github.com/greatfire/ 和 https://github.com/cn-nytimes/ 上面的那个alert. 临时解决办法: "1 27.0.0.1 hm.baidu.com" >> /etc/hosts 话说不知道这个事和 greatfire 有关. 我觉得这种事, 不管你的政治立场, 干扰他人的通信这种行为和TG没什么两样. |
|
25
devz1984 2015-03-27 13:23:01 +08:00
|
 |
26
sallowdish 2015-03-27 13:26:59 +08:00
不需要翻墙,海外访问国内domain同样触发,应该是单纯只要加载JS就跪。理论上可以修改本地hosts屏蔽上面提到的两个url,但还没试验过
|
|
27
sallowdish 2015-03-27 13:28:34 +08:00
囧,上面@xieyudi1990 已经提到hosts了,请无视
|
 |
28
sxlderek 2015-03-27 13:40:19 +08:00
身在香港,访问百道知道也触发。
|
 |
29
littlewey 2015-03-27 13:52:51 +08:00
身在台湾,访问百度的子站没有触发这个js。
|
 |
30
jonirrings 2015-03-27 13:55:12 +08:00
@ooxxcc 有人黑了某几家CDN的意思么?
|
|
31
ooxxcc 2015-03-27 13:58:02 +08:00
@jonirrings 不,GFW http劫持
|
|
32
xieyudi1990 2015-03-27 14:00:28 +08:00
|
 |
33
lollxxox 2015-03-27 14:02:04 +08:00
|
 |
34
otakustay 2015-03-27 15:21:42 +08:00
这个js是百度的广告出口(以前就是我写的,最近一年没怎么管了……),脚本里面本身是不会有DDOS这么无聊的事儿的,至于哪家劫持的,天知道- -
|
 |
35
kacong 2015-03-27 15:54:13 +08:00
天都不知道奥,天上面的人知道。不过这个手法有点太恶心了。
|
 |
36
xbonline 2015-03-27 16:53:13 +08:00
我擦 怪不得之前中午手机开网页弹出一个WARNING 我还以为自动装了啥垃圾APP
|
 |
37
rykka 2015-03-27 17:05:46 +08:00
这劫持是为了达到什么目的???
Because we can???? |
 |
39
est 2015-03-27 17:19:21 +08:00
|
|
40
wilbur OP wooyun上有相关的分析文章 http://drops.wooyun.org/papers/5398
|
 |
41
bombless 2015-03-27 19:23:18 +08:00
搞不懂下的什么棋……不过TG不乏聪明人,不管它的目的是什么,说不定会得逞……
|
|
42
bombless 2015-03-27 19:26:41 +08:00
我在想会不会是这样:缺人手搞国产软件,领导了解到很多人花业余时间掺和到各种外国开源软件上,想,这TM不是浪费我国的软件人才?必须遏制这股邪风……于是……
(啊,我的脑洞 |
 |
43
chengzhoukun 2015-03-27 19:53:10 +08:00
事情做的太恶心
|
 |
45
monnand 2015-03-28 04:19:22 +08:00
github的回应是把对应的url修改成一条javascript,弹出窗口警告用户。我觉得这么做算是很地道了。我要是github,直接把所有攻击再转向cnnic或者.gov.cn的网站,要么就是弹出窗口显示各种TG不愿意看到的真相。
|
|
47
monnand 2015-03-28 07:14:23 +08:00
@dndx 想屏蔽github也根本不需要理由,就直接说境外敌对势力就好。纽约时报不就是个典型境外敌对势力么。风头紧的时候要封个网站真是用不着找什么理由。
现在github的现状是,要么被封,要么天天被土共这么恶心着。所以说,*我要是github*,我估计就掀桌子不干了。可以直接找greatfire和纽约时报,问他们想在页面上放点啥,然后直接在用户窗口上弹出来包含更多内容的警告。 |
 |
48
thedarkside 2015-03-28 09:53:30 +08:00
tg是指??求科普~~~~~~
|
 |
49
DuXing 2015-03-28 14:11:28 +08:00
慢慢的,一个规律浮现出来:
凡是自由的,都是我们要反对的。。。 |
|
51
monnand 2015-03-28 18:01:48 +08:00 via Android 1
|
|
52
est 2015-03-28 18:42:08 +08:00 2
|
 |
53
zjgood 2015-03-28 22:18:39 +08:00 via Android
真棒!新技能get
|
Select Language