V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
gcod
V2EX  ›  全球工单系统

百度站长平台自动推送工具代码被劫持...

  •  2
     
  •   gcod · 2018-02-04 01:31:44 +08:00 · 7156 次点击
    这是一个创建于 2485 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事件起因:

    https://www.v2ex.com/t/428265


    原本还以为网站是被又拍云给 QJ 啦,

    后来尝试网站直接回源后还是存在广告,遂排除又拍云的嫌疑,

    我又怀疑网站被挂马,毕竟全站 HTTPS,问题可能出现在自身

    但是,经过对服务器日志,网站文件,数据库排查之后还是没有发现什么异常问题

    后来看到原贴下面 V2 网友的推论之后,我甚至怀疑是不是 HTTPS 现在也不安全了, 搞不懂运营商到底是怎样给 HTTPS 站点插广告呢??

    然后偶然看到了这个 https://www.qianduan.net/yun-ying-shang-jie-chi-https-oh-shit/

    想到网站本身还有使用 cnzz 的统计,百度站长平台 链接自动推送,

    百度 自动推送

    排查之后,怀疑对象最后确定为百度站长平台的推送代码被劫持了

    被上海联通劫持的 URL: https://zz.bdstatic.com/linksubmit/push.js

    被劫持

    正常情况:

    正常情况

    这样的话,只要有网站使用百度站长平台的自动提交功能,最后便都会被强行加入广告

    网站 HTTPS 实则名存实亡,即使不是百度的锅,但百度也沦为帮凶一般的存在。

    只能在这里吐槽下了,广告这种东西投诉运营商也只能治标不治本,最后的结果无非是用户自己看不到了,反正这种灰色项目不摆在明面上压根是没有人去管的。

    尚不清楚其他省份运营商有没有类似情况,若指望百度修复?恐怕也到年后了,

    实测,上海联通宽带,联通 4G 都有这种情况,你可以手动点开上述链接进行查看。

    如果你网站也有引用百度的推送代码,奉劝暂时还是别用了...

    绝望 ing..

    第 1 条附言  ·  2018-02-12 21:27:50 +08:00
    就最近一周来讲,上海联通没有出现过劫持的情况了,其他省份不太清楚,暂时情况就这些了。
    祝大家新年快乐~
    23 条回复    2018-02-11 19:10:40 +08:00
    miyuki
        1
    miyuki  
       2018-02-04 01:55:59 +08:00 via Android
    这怎么做到的
    miyuki
        2
    miyuki  
       2018-02-04 01:57:00 +08:00 via Android
    楼主发下证书看看
    ilylx2008
        4
    ilylx2008  
       2018-02-04 08:47:43 +08:00 via Android
    这真不是百度的锅,用的人多了自然就成为劫持对象。
    miyuki
        5
    miyuki  
       2018-02-04 09:33:56 +08:00 via Android
    既然 HTTPS 是完好的,那么估计是百度用的 CDN 回源被劫持
    anyclue
        6
    anyclue  
       2018-02-04 09:48:26 +08:00
    @miyuki #5 百度云回源也是 https 吧?
    kmahyyg
        7
    kmahyyg  
       2018-02-04 10:50:52 +08:00 via Android
    ublock 自动 ban 这些垃圾 js
    gcod
        8
    gcod  
    OP
       2018-02-04 10:57:05 +08:00 via Android
    falcon05
        9
    falcon05  
       2018-02-04 12:11:46 +08:00 via iPhone
    我是用 API push 的
    Loyalsoldier
        10
    Loyalsoldier  
       2018-02-04 15:02:05 +08:00
    卧槽………………
    holinhot
        11
    holinhot  
       2018-02-04 16:39:31 +08:00
    @anyclue 回来源用 https 会大大增加服务器负载,所以可能会对不重要的业务使用 http 回源
    VgV
        12
    VgV  
       2018-02-04 17:44:43 +08:00
    楼主用的是什么路由器,会不会是路由器,我以前在某宝买了个阿里路由,我了个去,我很长时间才明白我的网站没被入侵,每个网页都插入广告原来是路由器的锅,果断弃之买新的。
    gcod
        13
    gcod  
    OP
       2018-02-04 17:51:54 +08:00 via Android
    @VgV
    然而联通 4G 也是这样。
    你朋友有使用联通卡的话可以让他打开下面链接刷新看下
    https://zz.bdstatic.com/linksubmit/push.js
    VgV
        14
    VgV  
       2018-02-04 18:01:51 +08:00
    @gcod 老铁,不用那么麻烦,搜索 [网站测速] ,随便一个网站里面选联通路线测试就可以了。
    gcod
        15
    gcod  
    OP
       2018-02-04 18:19:16 +08:00 via Android
    @VgV 真不是路由器劫持。。
    https://wx1.vv1234.cn/o_1c5g53ol610an3lqc3p14661o13a.jpg
    DNS 什么的我保证一切正常
    是百度部分使用 HTTP 的的代码被联通投毒了
    v2gg
        16
    v2gg  
       2018-02-04 22:04:15 +08:00
    河南郑州 联通宽带 未复现
    breeswish
        17
    breeswish  
       2018-02-04 22:14:29 +08:00
    https 还能劫持?现在的劫持水平真是越来越高了
    hhacker
        18
    hhacker  
       2018-02-05 09:02:07 +08:00
    我可以证实这次的劫持 ,我是周六发现的。
    http://js.ywsem.com/mix_hhjd.js
    js 是这个,一直循环调用导致标签页卡死。。
    一度还怀疑是自己被黑了,发现是百度的问题就好解决了,去掉那个推送 js 一切正常。
    PS 我是全站 https,本地 Secure DNS,理论上运营商背锅的可能性低
    hhacker
        19
    hhacker  
       2018-02-05 09:09:56 +08:00
    确实有可能因为百度的 https 是 http 回源过来的,导致了劫持
    lin04com
        20
    lin04com  
       2018-02-07 16:33:57 +08:00
    今天我们也被毒害了,电信、移动、联通都一样,而且只是在 Android 手机复现,已经下线百度 push 工具并且投诉处理
    Hmily
        21
    Hmily  
       2018-02-08 10:10:25 +08:00
    gftfl
        22
    gftfl  
       2018-02-08 17:25:40 +08:00
    貌似现在解决了? 刚联通 4G 刷新,劫持代码不在了
    siteplatformbidu
        23
    siteplatformbidu  
       2018-02-11 19:10:40 +08:00
    多谢报 case
    @gcod 楼主现在还能复现吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2705 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 10:32 · PVG 18:32 · LAX 02:32 · JFK 05:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.