V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
chinaglwo
V2EX  ›  问与答

电信劫持 http 会话又升级了,不仅仅是弹出广告了。

  •  
  •   chinaglwo · 2015-10-13 03:15:24 +08:00 · 12230 次点击
    这是一个创建于 3328 天前的主题,其中的信息可能已经有所发展或是发生改变。

    访问非 https 的网站都有可能被劫持,随机的,特别是第一次访问站点特容易出现,反正我访问 sina 、 sohu 、 csdn 、 51cto 都遇到过,其他站点就更不用说了。

    现象是:网页上某个 js 被重复访问,比如 http://js.sohu.com/library/jquery-1.7.1.min.js 在请求搜狐科技频道时被请求了一次,然后又会被请求第二次,变成 http://js.sohu.com/library/jquery-1.7.1.min.js?_vv=20080808 ,后面这个参数是固定的,然后紧跟着就请求 http://p.haolew.com:7777/pt/pt.php?src=p0007&t=%E7%A7%91%E6%8A%80%E9%A2%91%E9%81%93-%E6%90%9C%E7%8B%90&ci=3702359731

    src=p0007 也是固定的, t=就是网页 title ,后面 ci=不知道是啥

    我是广西电信宽带用户,看了下 p.haolew.com 的 ip 地址是解析到南宁电信。

    由于用的是 chrome 浏览器,直接显示的是全红色页面“要访问的网站包含恶意软件

    目前 p.haolew.com 上的攻击程序可能会试图在您的计算机上安装危险程序来窃取或删除您的信息(例如:照片、密码、通讯内容和信用卡信息)。”

    点详细,会看到“ Google 安全浏览功能最近在 it.sohu.com 上检测到了恶意软件。平常非常安全的网站有时也会感染恶意软件。检测到的恶意内容来自于 p.haolew.com ,这是个出了名的恶意软件散布方。”

    现在不像以前只是右下角弹出广告了。这样完全影响正常浏览网页的,刷 f5 都不一定有用;但是如果能正常显示页面,却不会有上面的请求地址出现。

    还是 chrome 强大,能有提示,我试了其他几种浏览器,比如 ie 和 firefox 居然没有反应。

    第 1 条附言  ·  2015-10-21 00:14:36 +08:00
    自己的解决方法:

    安装了个 chrome 扩展,叫 user-agent switcher ,改 ua 为"chrome on Mac",使用了两天了,到目前为止居然没再发现恶意警告。

    怎么发现的呢?
    最初是因为偶尔需要切换到 ubuntu 桌面使用(我电脑是 win7+ubuntu 双系统),就坚持在 ubuntu 下使用 chrome 半天时间,居然没有恶意警告了,还以为电信发善心了;然而重启回到 win7 , chrome 又继续出现恶意警告了,我就想难道只针对 windows 系统? 于是找到了上面说的扩展,果然好用。
    55 条回复    2015-10-26 21:03:37 +08:00
    rwzsycwan
        1
    rwzsycwan  
       2015-10-13 03:47:59 +08:00
    同广西电信,没出现
    cxbig
        2
    cxbig  
       2015-10-13 05:04:37 +08:00
    定位到目标网址就好办,进 hosts 文件修改恶意域名指向本机。
    如:
    127.0.0.1 p.haolew.com
    yyfearth
        3
    yyfearth  
       2015-10-13 05:58:02 +08:00
    我怎么觉得是你的的 Chrome Extension 出问题了呢
    KexyBiscuit
        4
    KexyBiscuit  
       2015-10-13 06:01:07 +08:00 via Android
    Microsoft Edge :啥?恶意网站?哦,都在沙盒里面呢。
    des
        5
    des  
       2015-10-13 08:06:45 +08:00 via Android
    @KexyBiscuit 然而密码已经被人偷走了
    xuan880
        6
    xuan880  
       2015-10-13 11:23:29 +08:00 via Android
    火狐开启那个恶意网址功能也没有提示?他用的不也是谷歌数据库么。
    eirk2004
        7
    eirk2004  
       2015-10-13 11:35:32 +08:00
    有一套过滤设备,可以设置为访问指定 url 时替换内容。浏览器请求“ p.haolew.com:7777 ”,是因为你请求的 JS 文件的内容已经被替换了,因为文件下载可能比较快,这个设备会再请求一次保证源 JS 能下载成功
    chinaglwo
        8
    chinaglwo  
    OP
       2015-10-13 12:15:46 +08:00
    @yyfearth
    我已经把扩展全删了,而且我又在虚拟机里面安装了新系统,新装 chrome ,也出现相同问题。
    chinaglwo
        9
    chinaglwo  
    OP
       2015-10-13 12:16:28 +08:00
    @xuan880
    直接用火狐访问 http://p.haolew.com:7777/ 是有提示的
    chinaglwo
        10
    chinaglwo  
    OP
       2015-10-13 12:17:02 +08:00
    chinaglwo
        11
    chinaglwo  
    OP
       2015-10-13 12:20:53 +08:00
    @cxbig
    已经打 10000 号投诉了,电信网上投诉也发了,可电信说没查到,还说是我电脑问题或者浏览器问题。

    看到很多人之前有类似情况,准备再等两天,如果电信不给解决,就投诉到工信部去。

    像之前只是右下角有弹窗,至少我还能浏览网页,忍忍就算了。现在完全是影响浏览网页了。
    chinaglwo
        12
    chinaglwo  
    OP
       2015-10-13 12:25:54 +08:00
    @eirk2004
    是啊,我访问好多网站,都是 jquery 的 js 被替换。
    eirk2004
        13
    eirk2004  
       2015-10-13 12:36:57 +08:00
    @chinaglwo 除了找电信你没有任何办法的,上官网找在线客服,把抓包的截图发给他,告诉他已经获取了关键证据,如果不能解决就投诉工信部,电信就会督促承包商把劫持暂时关掉,当然过滤依旧存在。抓包截图要包含,劫持发生时的 ReTransmission 、根据“ follow tcp stream ”找到的劫持内容、伪造的数据包的 TTL 值,分两个图发给客服
    kmahyyg
        14
    kmahyyg  
       2015-10-13 12:50:05 +08:00
    114dns 路过
    ZavierXu
        15
    ZavierXu  
       2015-10-13 13:09:31 +08:00
    说的好像 Chrome 没有沙盒一样的
    feuvan
        16
    feuvan  
       2015-10-13 13:14:34 +08:00
    全局走 vpn 的时代快来了。。
    rwzsycwan
        17
    rwzsycwan  
       2015-10-13 15:13:22 +08:00
    @eirk2004 找客服没用 都听不懂你在说什么
    rwzsycwan
        18
    rwzsycwan  
       2015-10-13 15:28:42 +08:00
    @chinaglwo 额 出现了
    eirk2004
        19
    eirk2004  
       2015-10-13 16:32:07 +08:00
    @rwzsycwan 我这是实战经验。投诉也要用一点技巧,毕竟客服都是外包的。

    对于良心未泯的 ISP 打电话就行了,客服肯定知道有个推送系统,会帮你关掉;
    其他 ISP ,首先你要用客服能明白的东西去描述你的问题,然后发送截图,告知你已掌握关键证据(这个证据非常重要),然后要求找工程师或者上级领导。等他们回电时,必须要有对方承认(或者默认)推送系统的相关对话,一般两次投诉就能解决问题。
    以上未能解决,或者装傻不承认,凭你手中证据,去工信部投诉。 15 天未解决再次投诉。

    以上经验仅限于电信、联通。如果对方来电,通话全程录音,言语逻辑清晰,态度坚决,不辱骂对方。
    chinaglwo
        20
    chinaglwo  
    OP
       2015-10-13 17:41:25 +08:00
    @rwzsycwan
    你这个还好,至少不是提示恶意网页。

    我今天中午把光猫重启了,到现在还没出现问题。不知道是电信那边关掉了推送,还是说因为我一直在线,没变过 ip ,所以他们可以控制给我推送?

    反正也说明不是我电脑的问题了。
    erevus
        21
    erevus  
       2015-10-13 18:01:33 +08:00
    cxbig
        22
    cxbig  
       2015-10-13 20:52:00 +08:00
    @chinaglwo 在我看来投诉没有用,你喊贼抓贼?人家利益相关。
    最好的办法就是发现了干掉域名,加载不了就不会造成更大破坏。
    chinaglwo
        23
    chinaglwo  
    OP
       2015-10-13 21:59:50 +08:00
    @cxbig
    我打算投诉到工信部试试。

    现在晚上又开始被劫持了。
    chinaglwo
        24
    chinaglwo  
    OP
       2015-10-13 22:11:46 +08:00
    发个图看看
    chinaglwo
        25
    chinaglwo  
    OP
       2015-10-13 22:20:07 +08:00
    @cxbig
    你说的方法没用

    543400
        26
    543400  
       2015-10-13 22:26:13 +08:00 via Android
    再一次提现了我国强大的开发能力以及对技术的锲而不舍的追求精神
    cxbig
        27
    cxbig  
       2015-10-13 23:03:29 +08:00
    @chinaglwo 修改 Hosts 之后你清理了 Chrome 的缓存了没有?
    lanlanlan
        28
    lanlanlan  
       2015-10-13 23:12:14 +08:00
    浙江电信表示:就这玩意有啥新奇的 我们都玩了这个 2015 年了..

    tcp 劫持 js 文件 然后重新引入这个 js 后面加个"?" 如果这个 JS 是页面关键 JS 直接就异常了 比如秒拍等站点的自动播放就靠 JS 实现的 被劫持后就 Goodbye 了...这个东西你 127 也只能屏蔽广告没法阻挡劫持导致的页面异常..

    说说投诉的经历吧.

    2014 年 11 月 开始出现 iframe 方式劫持 1W 投诉 各种路由器是不是有问题 电脑是不是中毒了等等等推脱 最后就推到外线(装宽带)的人 上门检查 最后不了了之.

    2015 年 经历了 工信部工单投诉(结果被吃了 致电工信部说投诉工单没收到) 重复 2 次后 向对方索要投诉邮箱 邮件投诉...之后工信部讲投诉工单移交企业方(中国电信浙江分公司) 1W 号回电:我们没问题..
    重新致电工信部 这个没解决为什么不跟进了 各种转接到这个工单的处理人那边 被告知:工信部只受理话费突然少了等方向的争议 对于宽带运营商劫持弹广告的暂时不在他们的受理范围之内 详情可以参见电信服务什么什么的条例(这个真的忘了 当时查看了下都是手机通讯相关的 没涉及到宽带方面) 然后说了一下 他们说这一块 ISP 宽带劫持的东西他们有提案什么的 但是还一直在讨论中等等等...于是让我找省通讯管理局投诉试试.

    省通讯管理局受理并跟进 电信临时加白宽带账号 回复省通讯管理局:“经仔细核查电信并没有这个问题” 省通讯管理局回电告知处理结果...

    之后过了一个星期 又出现广告劫持了 呵呵哒..

    之后变成了循环投诉 劫持 -- 1W 号 你们老毛病又犯了 有完没完? -- 加白账号(期间加黑 区号+10000 明确告知省级单位来回复)

    大概搞了一两个月 也算是真忍不住了 1W 号投诉之后 省单位回电说 已经屏蔽了等等 直接回复告诉他:“你们这套东西我都懂 但是你们这么放着玩 别逼我做个横幅啥的拉上朋友堵你们营业厅 反正我是干的出来这种事” 之后加白了 1~2 个月

    再之后 间歇性出现劫持 直接 1W 号电话过去 投诉 “老毛病又犯了 弹广告了。。 IPxxx 域名 xxx ” 省单位回电后 就加白了...

    (语文不好 多多见谅 QWQ)
    chinaglwo
        29
    chinaglwo  
    OP
       2015-10-13 23:29:07 +08:00
    @lanlanlan
    佩服。看来工信部也管不了。
    我很想知道哪些人在玩,我估计客服、上门维护的人都是底层,确实根本就不知道。
    chinaglwo
        30
    chinaglwo  
    OP
       2015-10-13 23:33:44 +08:00
    @lanlanlan

    去年我的电信手机号被营业厅误操作销号,我也是一顿投诉,也投诉到工信部,大概 2 周才给我恢复过来。
    honeycomb
        31
    honeycomb  
       2015-10-14 00:37:40 +08:00
    @KexyBiscuit
    可是 Chrome 也在沙盘里
    只不过 Edge 的沙盘比较威猛,是 AppContainer 罢了
    KexyBiscuit
        32
    KexyBiscuit  
       2015-10-14 05:42:48 +08:00 via Android
    @des 登录不用 HTTPS 都是耍流氓。
    des
        33
    des  
       2015-10-14 08:12:36 +08:00 via Android
    @KexyBiscuit 只有登录也是然饼卵,拿到 cookie 想干嘛干嘛。好多时候你也不会去手动加个 s ,况且还能还能给你跳到 http 呢。估计等全都 https 了,它们还能给你代理成 http 呢
    des
        34
    des  
       2015-10-14 08:19:05 +08:00 via Android
    @des 不要以为做不出来,你想框架你的网页和插 js 这种是也能做出来啊。无非就是成本大了很多,看能不能接受而已
    lanlanlan
        35
    lanlanlan  
       2015-10-14 09:14:24 +08:00
    @chinaglwo 已知的都是省级单位搞的鬼..
    手机号码被误销号这种他们运营商还是愿意处理的。。
    <<<最后 有个比较有意思的 其他地区运营商劫持 他们直接打死他挂广告 JS 的服务器 以暴制暴未尝不好啊 hhh
    erevus
        36
    erevus  
       2015-10-14 14:11:08 +08:00
    为什么还没勇士上去清他数据库呢?
    dolee
        37
    dolee  
       2015-10-15 11:18:32 +08:00
    @chinaglwo 我也是广西电信的,这两天也发现了这个问题。

    另外还发现这个只会再 chrome 中出现,火狐、 IE 都没有发现这个问题

    表示很不理解,这是为什么呢?
    dolee
        38
    dolee  
       2015-10-15 11:20:49 +08:00
    @chinaglwo 在火狐 firebug 中查了一遍,没有发现这个请求。
    chinaglwo
        39
    chinaglwo  
    OP
       2015-10-18 13:02:15 +08:00
    @dolee
    是啊,我基本看网页都使用 chrome ,出现很频繁,打开几十个页面至少出现一两次。我用火狐、 IE 试过,打开几十个页面都不会出现,打开页面前我用 f12 观察,没发现 js 被劫持。

    但是我也新安装了虚拟机,然后新装了 chrome ,没安装任何扩展和插件,也会被劫持,所以可以排除 chrome 的问题。
    chinaglwo
        40
    chinaglwo  
    OP
       2015-10-18 13:08:21 +08:00
    @dolee
    现在域名变了。
    之前是 p.haolew.com
    现在是 ns1.qwhls.net
    chinaglwo
        41
    chinaglwo  
    OP
       2015-10-18 13:12:49 +08:00
    @dolee
    火狐、 IE 不出现的具体原因不清楚,但是至少可以知道程序是可以根据 ua 和访问 url 才决定是否 js 劫持,不然你看政府网站,就不会被劫持吧。
    mikeshinoda
        42
    mikeshinoda  
       2015-10-21 13:03:06 +08:00
    我也是广西电信,校园宽带
    我已经上报工信部了,然后南宁电信这边给我打了电话,也说查不出,他叫我提供下材料
    我前一个账户也出现了这个情况,当时在 CNZZ 已经揪出了他们的统计代码,标题就明确写着”“广西电信右下角弹窗..”站点数据”,但是没有投诉
    不过没保存好,被删了。现在重新收集中。
    mikeshinoda
        43
    mikeshinoda  
       2015-10-21 13:05:42 +08:00
    他们现在似乎把 p.haolew.com 解析到 127.0.0.1 了。然后变成了 ns1.qwhls.net
    chinaglwo
        44
    chinaglwo  
    OP
       2015-10-21 21:18:54 +08:00
    @mikeshinoda
    是的,没错。我前面的回复也说了已经变成 ns1.qwhls.net 了。

    我这只有 chrome 提示恶意警告,其他浏览器没事。你也是这样吗?
    chinaglwo
        45
    chinaglwo  
    OP
       2015-10-21 21:20:13 +08:00
    @mikeshinoda

    怎么样能从 cnzz 收集到?
    mikeshinoda
        46
    mikeshinoda  
       2015-10-21 23:16:32 +08:00
    @chinaglwo 之前看有段时间用的 iframe 广告里面有 CNZZ 的 js 代码。现在我也找不到了
    跟这里说的情况差不多。我那时候直接套插入广告的统计代码就看到的
    https://www.rpk31.com/585.html
    tonnydan
        47
    tonnydan  
       2015-10-22 10:18:31 +08:00
    企业光纤专线也被搞了,昨天投诉到工信部今天上午工信部的来电称弹出广告不是运营商的内容,要当事人自行联系 12300 或 12377 反映。。。
    chinaglwo
        48
    chinaglwo  
    OP
       2015-10-22 14:44:11 +08:00
    @mikeshinoda
    这些畜生,随便搞下就几十万上百万的流量,利益多高啊。
    chinaglwo
        49
    chinaglwo  
    OP
       2015-10-22 14:46:27 +08:00
    @tonnydan
    12300 也是工信部的吧,估计他们就是不同的部门互相推责任,根本没起到监管作用
    mikeshinoda
        50
    mikeshinoda  
       2015-10-23 13:35:45 +08:00
    @chinaglwo 貌似我这边情况好多了,不见弹窗和危险警告了。
    本来说要发材料给南宁电信这边的,后来自己忘了。
    昨天那个负责人打电话给我中午才发的过去。
    估计是目前正在处理吧。
    tonnydan
        51
    tonnydan  
       2015-10-23 14:21:10 +08:00
    @chinaglwo 现在变成 gg.jtertp.com
    skybbz
        52
    skybbz  
       2015-10-26 08:49:31 +08:00
    有个简单办法解决这个问题,就是把你认为可能的广告域名加入到 hosts 配置文件当中。让广告在请求广告时找不到真正的广告服务器。具体如下:
    1.找到 C:\WINDOWS\system32\drivers\etc\hosts
    2.用管理员身份用 notepad(记事本)打开这个文件
    3.把可疑的广告域名加进去,如 127.0.0.1 xx.ad.com (一行一个域名)
    4.保存后,下次再打开网页应该就不会出现广告了。

    如果还不明白,请看此网页:
    http://www.myhack58.com/Article/54/93/2011/29528.htm
    chinaglwo
        53
    chinaglwo  
    OP
       2015-10-26 21:00:04 +08:00
    @tonnydan

    你看一下我这个帖子的补充内容,我把 ua 换成非 windows 下的 chrome ,就再也没出现问题了,你试试看。
    chinaglwo
        54
    chinaglwo  
    OP
       2015-10-26 21:02:39 +08:00
    @skybbz

    这个是 js 劫持,不是简单弹窗,所以导致 chrome 出现危险警告,你说的改 host 没用的,这一点上面的 28 楼已经说过了。
    chinaglwo
        55
    chinaglwo  
    OP
       2015-10-26 21:03:37 +08:00
    @mikeshinoda

    我把 chrome 的 ua 换成非 windows 下的了,这段时间一点问题也没有。所以也没有再切回去看是否还有警告。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2774 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:50 · PVG 21:50 · LAX 05:50 · JFK 08:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.