百度站长平台自动推送工具代码被劫持...

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2471 天前的主题，其中的信息可能已经有所发展或是发生改变。

事件起因：

https://www.v2ex.com/t/428265

原本还以为网站是被又拍云给 QJ 啦，

后来尝试网站直接回源后还是存在广告，遂排除又拍云的嫌疑，

我又怀疑网站被挂马，毕竟全站 HTTPS，问题可能出现在自身

但是，经过对服务器日志，网站文件，数据库排查之后还是没有发现什么异常问题

后来看到原贴下面 V2 网友的推论之后，我甚至怀疑是不是 HTTPS 现在也不安全了，搞不懂运营商到底是怎样给 HTTPS 站点插广告呢？？

然后偶然看到了这个 https://www.qianduan.net/yun-ying-shang-jie-chi-https-oh-shit/

想到网站本身还有使用 cnzz 的统计，百度站长平台链接自动推送，

百度自动推送

排查之后，怀疑对象最后确定为百度站长平台的推送代码被劫持了

被上海联通劫持的 URL： https://zz.bdstatic.com/linksubmit/push.js

被劫持

正常情况：

正常情况

这样的话，只要有网站使用百度站长平台的自动提交功能，最后便都会被强行加入广告

网站 HTTPS 实则名存实亡，即使不是百度的锅，但百度也沦为帮凶一般的存在。

只能在这里吐槽下了，广告这种东西投诉运营商也只能治标不治本，最后的结果无非是用户自己看不到了，反正这种灰色项目不摆在明面上压根是没有人去管的。

尚不清楚其他省份运营商有没有类似情况，若指望百度修复？恐怕也到年后了，

实测，上海联通宽带，联通 4G 都有这种情况，你可以手动点开上述链接进行查看。

如果你网站也有引用百度的推送代码，奉劝暂时还是别用了...

绝望 ing..

第 1 条附言 · 2018-02-12 21:27:50 +08:00

就最近一周来讲，上海联通没有出现过劫持的情况了，其他省份不太清楚，暂时情况就这些了。
祝大家新年快乐~

百度

推送

劫持

站长

23 条回复 • 2018-02-11 19:10:40 +08:00

miyuki

2018-02-04 01:55:59 +08:00 via Android

这怎么做到的

miyuki

2018-02-04 01:57:00 +08:00 via Android

楼主发下证书看看

gcod

2018-02-04 02:04:42 +08:00 via Android

@miyuki

证书应该是真的，不是伪造的

https://wx1.vv1234.cn/o_1c5edb8ud178l1pbr4u31cin1ueha.jpg

https://wx1.vv1234.cn/o_1c5edd2d15am3al16nd1b2h1qkha.jpg

https://wx1.vv1234.cn/o_1c5eddqm2r75q5vf91dp21huna.jpg

ilylx2008

2018-02-04 08:47:43 +08:00 via Android

这真不是百度的锅，用的人多了自然就成为劫持对象。

miyuki

2018-02-04 09:33:56 +08:00 via Android

既然 HTTPS 是完好的，那么估计是百度用的 CDN 回源被劫持

anyclue

2018-02-04 09:48:26 +08:00

@miyuki #5 百度云回源也是 https 吧？

kmahyyg

2018-02-04 10:50:52 +08:00 via Android

ublock 自动 ban 这些垃圾 js

gcod

2018-02-04 10:57:05 +08:00 via Android

福建联通 3g 网络复现
https://wx1.vv1234.cn/o_1c5fblean1brs1atctfg3sb1itaa.jpg

falcon05

2018-02-04 12:11:46 +08:00 via iPhone

我是用 API push 的

Loyalsoldier

2018-02-04 15:02:05 +08:00

卧槽………………

holinhot

2018-02-04 16:39:31 +08:00

@anyclue 回来源用 https 会大大增加服务器负载，所以可能会对不重要的业务使用 http 回源

VgV

2018-02-04 17:44:43 +08:00

楼主用的是什么路由器，会不会是路由器，我以前在某宝买了个阿里路由，我了个去，我很长时间才明白我的网站没被入侵，每个网页都插入广告原来是路由器的锅，果断弃之买新的。

gcod

2018-02-04 17:51:54 +08:00 via Android

@VgV
然而联通 4G 也是这样。
你朋友有使用联通卡的话可以让他打开下面链接刷新看下
https://zz.bdstatic.com/linksubmit/push.js

VgV

2018-02-04 18:01:51 +08:00

@gcod 老铁，不用那么麻烦，搜索 [网站测速] ，随便一个网站里面选联通路线测试就可以了。

gcod

2018-02-04 18:19:16 +08:00 via Android

@VgV 真不是路由器劫持。。
https://wx1.vv1234.cn/o_1c5g53ol610an3lqc3p14661o13a.jpg
DNS 什么的我保证一切正常
是百度部分使用 HTTP 的的代码被联通投毒了

v2gg

2018-02-04 22:04:15 +08:00

河南郑州联通宽带未复现

breeswish

2018-02-04 22:14:29 +08:00

https 还能劫持？现在的劫持水平真是越来越高了

hhacker

2018-02-05 09:02:07 +08:00

我可以证实这次的劫持，我是周六发现的。
http://js.ywsem.com/mix_hhjd.js
js 是这个，一直循环调用导致标签页卡死。。
一度还怀疑是自己被黑了，发现是百度的问题就好解决了，去掉那个推送 js 一切正常。
PS 我是全站 https，本地 Secure DNS，理论上运营商背锅的可能性低

hhacker

2018-02-05 09:09:56 +08:00

确实有可能因为百度的 https 是 http 回源过来的，导致了劫持