一个奇怪的劫持问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3777 天前的主题，其中的信息可能已经有所发展或是发生改变。

从昨天开始，访问任何 http 的站点都有可能卡一下，持续 1 秒左右，然后显示正常页面，再次刷新就是秒开， 1 分钟左右又会出现一次。

我以为只是浏览器的问题，偶然卡的时候打开 F12 ，看到了下面的内容

当时感觉应该是运营商的劫持，但是发现 IP 有点眼熟， Google 了一下，细思恐极...

同城同运营商的朋友没有发现这个问题

请问我这是被盯上了？

劫持

恐极

F12

运营商

15 条回复 • 2015-09-15 15:49:42 +08:00

emric

2015 年 9 月 14 日

这个脚本的内容贴上来让大家看看?

PlanetCat

2015 年 9 月 14 日

@emric

内容是指这个吗？

emric

2015 年 9 月 14 日

@PlanetCat 内嵌的这个脚本还有下面那个外联的, 想知道他能够获取到什么样的信息.

PlanetCat

2015 年 9 月 14 日

@emric 真奇怪，那个外链的脚本是打不开的

emric

2015 年 9 月 14 日

@PlanetCat 这个内联的脚本发到 Gists, 我格式化看看.

yexm0

2015 年 9 月 14 日

我还以为这些都是黑洞路由,没想到啊........

PlanetCat

2015 年 9 月 14 日

@emric https://gist.github.com/anonymous/b9a06ba1ae356f85bc8d

gunshot

2015 年 9 月 14 日

http://www.zhihu.com/question/26384045

emric

2015 年 9 月 14 日

@PlanetCat 似乎在利用 sr.swf 做了些什么, 或许是 flash 的漏洞. 没 ss.js 没办法彻底的弄明白.

emric

2015 年 9 月 14 日

口误.. 应该是没有 sr.swf 没办法彻底的弄明白.

emric

2015 年 9 月 14 日

我去查了一下, swf 和 ss.js 应该是这个项目 (1 ) 的文件.
这个 js 的作用, 就是创建一个随机数 + 时间的 cookie 用图像 ping 的方式发送给服务器..
然而.. 这个是什么东西? 识别用户?

1. https://github.com/nfriedly/Javascript-Flash-Cookies

kslr

2015 年 9 月 14 日 via Android

@emric 你说的更像是网站统计，它就是使用这种技术实现的。

Laforet

2015 年 9 月 15 日

应该是你被某种应用层的东西劫持，然后这个东西的 C2 域名又正好被污染了。

PlanetCat

2015 年 9 月 15 日

@emric 多谢。然而这个 IP 实在让人放心不下...也不知道在做什么.._(:з」∠)_

@Laforet 现在同城的朋友也遇到了，感觉是联通做的劫持，联通劫持不会弄一个被污染的域名吧...

Laforet

2015 年 9 月 15 日

@PlanetCat

未必是联通做的，能查到域名的话或许能看出些什么。