有没有人被自动跳转到 wpkg.org？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3824 天前的主题，其中的信息可能已经有所发展或是发生改变。

某页游代理出现此情况，我自己的代理也有这个情况。
据说和 facebook.net 有关系，但是我也没有搞明白哪里出的问题。
出现问题的几个网站（中国大陆以外访问）：
https://microsoftstore.com/
http://dmm.com/

附上某页游代理提供的解决方案：hosts
127.0.0.1 facebook.net
127.0.0.1 wpkg.org

第 1 条附言 2015-04-26 19:43:53 +08:00

看来是这样了，中国大陆某些 DNS 又开始排污，岛风 Go 和我的 SS 都没有转发 DNS，于是就脏了。

wpkg.org

解决方案

代理

72 条回复 2015-04-30 12:11:35 +08:00

zhaohaozeng

2015-04-26 18:12:45 +08:00

应该是防火墙的锅

cmxz

2015-04-26 19:16:56 +08:00

同样遇到了
请求http://connect.facebook.net/en_US/fbds.js 时会301跳到http://wpkg.org/my.js

KexyBiscuit

2015-04-26 19:28:53 +08:00 via Android

@zhaohaozeng 不是，SS 出去也一样。

Laforet

2015-04-26 19:30:02 +08:00

DNS的问题吧，这个域名正常情况下应该解析到Akamai的CDN上，部分省市解析到wpkg的这两个德国IP上

46.4.130.2
144.76.67.84

某软件因为各种js出问题不是一次了，让你们家背锅的那位不要那么懒，开个远端DNS或者默认屏蔽那些跨站脚本就行了，不影响使用的。

laiyingdong

2015-04-26 19:30:28 +08:00

我用香港ss访问appledaily时也跳转了这个网站，不过服务器不是自己的。没办法了

a href="/member/kiritoalex" class="dark">kiritoalex

2015-04-26 19:33:24 +08:00

@Laforet 岛风go吗？

KexyBiscuit

2015-04-26 19:34:44 +08:00 via Android

@kiritoalex 嗯是的

kiritoalex

2015-04-26 19:36:46 +08:00

@KexyBiscuit lol

Laforet

2015-04-26 19:37:11 +08:00

@kiritoalex 然也。这软件之前就有过因为跨站脚本载入失常导致部分本站网页元素失效的问题。经我验证屏蔽dmm域名和游戏前端之外的所有脚本不影响登陆和游戏，不知道为什么某专业背锅不能这样做。

KexyBiscuit

2015-04-26 19:42:45 +08:00 via Android

@Laforet 他们还开放了一些“正经又重要”的网站的访问，可能原因在此。

kiritoalex

2015-04-26 19:45:55 +08:00

@Laforet 你们认识真神吗？给他发一个邮件吧。。。。。。。。

kiritoalex

2015-04-26 19:47:41 +08:00

@Laforet 跨站脚本那个太烦人了，现在都还有这个问题。简直是烦死。要不是防猫我不会用的。。

dofine

2015-04-26 19:56:32 +08:00

原来如此。。我说怎么这会翻出不出去了。。提示证书错误

Laforet

2015-04-26 20:07:19 +08:00

@kiritoalex 这个靠自己吧，noscript和ghostery都是很好的东西。之前我也不怎么注意这方面的问题，上次大规模脚本劫持之后现在非常小心。

kiritoalex

2015-04-26 20:09:15 +08:00

@Laforet 是这样的

yingluck

2015-04-26 21:19:12 +08:00

遇到了还没搞清楚是怎么回事原来以为时运营商打广告

Shennong

2015-04-26 21:49:01 +08:00 via iPhone

我说呢，我还以为DNS 被劫持了呢

Laforet

2015-04-26 21:56:23 +08:00

暂时收回自己之前的说法，有报告称http://connect.facebook.net/ja_JP/sdk.js被替换成了http://wpkg.org/my.js，这样更符合莫名其妙跳转的症状。墙内的同学能不能帮忙Get一下或者connect.facebook.net/ja_JP/sdk.js看看返回的请求是否正常？

希望这不是新一轮脚本劫持的序幕。

Xuanwo

2015-04-26 23:30:50 +08:00

我在uBlock里面添加了facebook.net，就搞定了= =。
顺便问下，这次是谁的锅？

2015-04-26 23:45:51 +08:00

@Laforet 表示墙内直接连，返回的是ERR_NAME_NOT_RESOLVED
DNS根本就被污染了嘛！不过换google的DNS却是可以正常撸出来的。
[环境：天津，教育网，今天校园网DNS被放倒除了内网外全部无法解析，chrome浏览器，用DNS114被污染无法解析，8.8.8.8正常]

0x17e

2015-04-26 23:53:20 +08:00

这个问题也遇到了

jacob

2015-04-27 01:33:27 +08:00

怎么解决啊

Oi0Ydz26h9NkGCIz

2015-04-27 01:43:02 +08:00

@jb
@Xuanwo
@Laforet
@Laforet
@cmxz 我怎么打开wpkg.org是“Google Chrome”到 wpkg.org 的连接尝试遭到拒绝。原因可能是该网站已崩溃，也可能是您的网络配置不正确“
ping wpkg.org返回的是127.0.0.1

zxteloiv

2015-04-27 02:02:34 +08:00

装 NoScript 扩展后已经能正常访问不会被重定向了

tinkerer

2015-04-27 02:22:15 +08:00

我今天访问 .pk 域名也出这情况了，目前暂时 dns 查询添加 anyconnect 路由 + bind 缓存正常用。

adamwang

2015-04-27 10:32:00 +08:00

在求解决方案 = =#

KexyBiscuit

2015-04-27 10:45:52 +08:00 via Android

@adamwang
@jacob
主题帖就给出 hosts 了 - -+再发一次更新版

127.0.0.1 facebook.net
127.0.0.1 connect.facebook.net
127.0.0.1 wpkg.org

adamwang

2015-04-27 10:49:18 +08:00

之前试了一下没好使= = #，现在可以了。Thx~

jianghu52

2015-04-27 11:19:47 +08:00

大连网通直连 wpkg.org 正常。

Oi0Ydz26h9NkGCIz

2015-04-27 11:31:53 +08:00

微博上炸开锅了。

mingyuan2011

2015-04-27 12:08:13 +08:00

今天去下载 xmind客户端，也被redirect到了 wpkg.org

Laforet

2015-04-27 12:37:59 +08:00

大概明白是怎么回事了。wpkg的两个IP上的Nginx配置有点问题，如果用IP访问并请求任何.js的话会自动返回HTTP 301并跳转到http://wpkg.org/my.js，然后这个脚本会导致跳转。我已经发邮件给wpkg的两位管理员，希望可以尽快得到解决。

bobopu

2015-04-27 13:25:00 +08:00 via iPhone

@Laforet 这么大的流量冲击他们能不知道么。需要知道这个wpkg到底是什么背景。

shangyingao

2015-04-27 14:07:13 +08:00

今天我打开自己的博客(iyin.me)也跳转到 wpkg.org
这是WordPress的问题还是域名的问题呢？

laoyuan

2015-04-27 14:07:21 +08:00

我刚刚也碰到了，IMDB的首页

laoyuan

2015-04-27 14:07:29 +08:00

http://www.imdb.com/

microka

2015-04-27 14:09:54 +08:00

@laiyingdong 我也是ss访问appledaily出现这个情况，昨晚和今早都用得好好的。

Laforet

2015-04-27 14:27:32 +08:00

@bobopu 这是个软件分发的开源项目，我觉得是他们服务器配置有漏洞，被人利用了。欧洲现在是半夜，过几个小时应该就会有答复。

zyc92118

2015-04-27 14:29:07 +08:00

刚刚遇到，开了一下VPN，然后几乎所有的日文攻略WIKI站都自动跳转wpkg.org............

hahastudio

2015-04-27 14:36:59 +08:00

https://www.reddit.com/r/technology/comments/33xc0u/wpkgorg_currently_undergoing_possible_attack_from/

bobopu

2015-04-27 14:42:07 +08:00

@Laforet 已用OneDNS解决。另，这个问题似乎是从昨天中午就开始出现了，这都过去十几个小时了，他们应该知道了吧。我也是佩服这家的服务器，这么大流量居然没倒，看起来又不想是cloudflare的用户，竟自己能独抗如此巨量大炮不倒，神奇。

nlzy

2015-04-27 15:35:45 +08:00

我用墙外的2台VPS wget http://connect.facebook.net/ja_JP/sdk.js ，均返回正常
直连http://connect.facebook.net/ja_JP/sdk.js返回301，跳转至wpkg.org/my.js
挂ss返回正常
host修改为23.207.52.153 connect.facebook.net，返回正常
PS：23.207.52.153这个IP是墙外VPS ping返回的

bobopu

2015-04-27 16:18:41 +08:00

@Laforet
@nlzy 看solidot上的消息，大炮又修改了规则，打到另一个网站了，具体是哪个知道吗？http://www.solidot.org/story?sid=43854

hezhile

2015-04-27 16:41:07 +08:00

很多海淘相关的网站，也被劫持到这个wpkg.org的域名。
http://www.newsmth.net/nForum/article/HaiTao/141942?s=141942

infinte

2015-04-27 17:07:44 +08:00

我从国内和国外测试

curl http://connect.facebook.net/en-US/sdk.js -v --resolve 'connect.facebook.net:80:148.251.0.55'

使用 resolve 参数强制访问国内解析出的地址结果也是跳转，而测试

curl http://connect.facebook.net/en-US/sdk.js/www.v2ex.com -v --resolve 'connect.facebook.net:80:148.251.0.55'

在国内有遇到 RST，国外没，说明此服务器在国外。两条测试可以断定这不是会话劫持，solidot 的描述是错的。

我怀疑最大的可能性是对 connect.facebook.net 的 dns 污染刚巧碰到了这几个 ip……

Laforet

2015-04-27 17:20:24 +08:00

@bobopu 可能是挂在同一个IP上的http://www.ptraveler.com/，同一台服务器，自然症状是一样的。

solidot这里的说法也有问题，用DNS劫持XSS，只能靠远端DNS防污染，加密没什么意义。

bobopu

2015-04-27 17:39:57 +08:00

@Laforet 试了一下，的确现在又转到了http://www.ptraveler.com/pt.js
@infinte

ScotGu

2015-04-27 17:45:18 +08:00

who.is 就跳转到这货上。
我还纳闷是WPKG 收购了呢。

infinte

2015-04-27 17:53:18 +08:00

@bobopu 我怀疑不是有人故意劫持，只是 dns 污染的 ip 池刚好圈住了那几个 ip 罢了

bobopu

2015-04-27 17:57:01 +08:00

@infinte 发现有几个介绍如何用hosts绕过跳转的帖子都主动删帖了，这也太。。

infinte

2015-04-27 17:57:58 +08:00

@bobopu dig 出来的结果 ttl 都几十万……

xiaopenyou

2015-04-27 18:07:33 +08:00

同遇到，换成阿里dns就恢复了

lugeek

2015-04-27 18:32:23 +08:00

好神奇…

armysheng

2015-04-27 19:50:54 +08:00

改了hosts，清了cookie ，chrome也重启了怎么还是有问题

armysheng

2015-04-27 20:00:02 +08:00

已解决

KexyBiscuit

2015-04-27 22:33:34 +08:00

@bobopu 求具体

ryd994

2015-04-28 02:03:53 +08:00 via Android

加hsts也很好用

miao

2015-04-28 09:07:43 +08:00

到现在好像还在跳转
www.houzz.com

orangemay

2015-04-28 12:11:55 +08:00

昨天改了 hosts 清除缓存后成功解决.
然后现在还是会跳转了..

vonnyfly

2015-04-28 13:14:19 +08:00

遇到好些天了，clean dns无效，公司内网走日本也无效。
http://connect.facebook.net/en_US/all.js 301跳转。

vonnyfly

2015-04-28 13:15:35 +08:00

看这个直播chrome最近一直跳转： http://www.twitch.tv/jennythesquirrel fuck

totmann

2015-04-28 14:29:37 +08:00

Use an Adblocker extension in your web browser and block the following urls:
http://wpkg.org/my.js
http://www.ptraveler.com/pt.js

pbdm

2015-04-28 14:39:12 +08:00

......react 官网也被跳转了
http://facebook.github.io/react

suifengtec

2015-04-28 14:52:53 +08:00

我真是日了狗了，我是在某SDK中发现跳转，谷歌到这里的

infinte

2015-04-28 16:40:58 +08:00

事实上 connect.facebook.net 本身没有被污染，但是很奇怪的 a.ns.facebook.com 和 b.ns.facebook.com 被污染了，这两个域名的正常地址国内也 ping 不通，所以对于正常的国内 DNS 服务器，解析 connect.facebook.net 是不会解析出结果的……

infinte

2015-04-28 16:59:13 +08:00

另外 connect.facebook.net 正常状态下会 CNAME 到 connect.facebook.net.edgekey.net，这个域名全国解析都没问题，说明问题应该出在国内服务器访问 a.ns.facebook.com / b.ns.facebook.com 这一步上。

arbipher

2015-04-28 17:15:30 +08:00

@Xuanwo 可用

acess

2015-04-28 23:59:16 +08:00

我也碰到了
chrome还把这个js缓存了，搞得设置了代理也会被跳转，清除浏览器缓存就好了

infinte

2015-04-29 01:42:48 +08:00

大体知道是怎么回事了：劫持者把 a.ns.facebook.com / b.bs.facebook.com 劫持到的一批 IP 中有这样一个奇葩：178.208.90.143，这个 IP 开放了 DNS 服务，但是朝他无论解析哪个域名都会返回 604800 IN A 148.251.0.55。

spyke44

2015-04-29 09:09:27 +08:00

@infinte 根到底在墙内还是墙外？

Laforet

2015-04-29 20:40:47 +08:00

@infinte 本来以为是有意的导向，现在越来越看不懂了

https://www.shodan.io/host/178.208.90.143