这是一个创建于 3565 天前的主题,其中的信息可能已经有所发展或是发生改变。
百度的反垃圾邮件系统太敏感了,根本没法回复百度的邮件,发这里再发链接给百度吧。
哪个帮我把这个帖子链接,发下邮件给百度联盟的邮箱,他们系统太敏感了,我邮箱都发不过去了。
1.江苏移动宽带劫持百度、好 123 所用的联盟账号(后面劫持代码截图中有这些广告联盟账号):
劫百度的 TN 码如下:
94853979_hao_pg
78040160_24_pg
78040160_25_pg
02049043_18_pg
02049043_22_pg
32053019_9_pg
劫持好 123 的 TN 码如下:
95772190_hao_pg
96738917_hao_pg
98933858_hao_pg
98698880_hao_pg
94247234_hao_pg
96709144_hao_pg
96215825_hao_pg
他们劫持好 123 的代码又换了,现在换成这几个了。
96373655_hao_pg
95772190_hao_pg
95605146_hao_pg
96738917_hao_pg
98698880_hao_pg
2.劫持手段: TCP 劫持,不是古老的 DNS 劫持,运营商现在很少用 DNS 劫持,基本是 TCP 劫持。
在运营商监控网关等设备上,劫持百度首页、好 123 首页访问的 HTTP 数据,是匹配
http://www.baidu.com
http://www.hao123.com
而且是针对 IP 的匹配,跟他们以前有次劫持京东跳转到别的广告联盟是一样的,只针对某个 IP ,目前来看是百度的 IP : 111.13.100.2 (这个 IP 是百度移动线路节点, HTTPS 证书也是百度的) 当域名、 IP 匹配就劫持 HTTP 网页代码,修改网页内容,把代码修改为网址自动加 TN 联盟统计 ID 的地址。
之前被劫持的代码如图 1 、图 2 。
目前百度首页不被劫持了
默认解析的百度 IP 是 111.13.100.91 或者 111.13.100.92 ,我手动指定到 111.13.100.2 现在也没有劫持百度首页了,而且 HTTPS 加密下的百度首页内容也不是正常的,百度的节点在调整,不清楚是江苏移动宽带他还匹配网页内容数据包?或者他们劫持百度搜索的联盟 TN 账号被封停掉了?
好 123 依然被劫持添加代码,如图 3 、图 4 。
详情图片:
图 1 ,劫持百度首页的代码 
图 2 ,网址被添加了联盟 TN 代码 
图 3 ,劫持好 123 的代码 
图 4 ,网址被添加了联盟 TN 代码 
3.江苏移动宽带已经不是第一次劫持了
他们劫持电商,那么就找各个电商、联盟封他们账号,他们当时也是采取的注册大量联盟账号,随机显示统计代码,但照封不误。他们劫持 APK ,我找到具体的劫持者,让他停掉,不然网监伺候。还有各种 iPush 悬浮弹窗,通过移动投诉解决。
详情请看我以前发的帖子,已经有很多次抓江苏移动宽带各种劫持,目前除了百度、好 123 被劫持江苏移动宽带劫持,基本没有什么被劫持了: member/alonga/topics
4.解决运营商劫持最有效的方法
斩断他们的利益链条,比如封了他们的联盟账号,之前电商劫持,就是如此解决他们的。
或者百度像之前在重庆一样起诉劫持百度的运营商。
另外我还发现其它地方的运营商也有劫持百度的情况,如果有需要可以提供给百度。
第 1 条附言 2016-03-29 08:06:40 +08:00
只是因为百度换IP或者节点数据包变化才停止劫持。
新的IP:111.13.100.91和111.13.100.92现在也被劫持。
图5,百度被劫持网址被加TN参数 
图6,百度被劫代码 
第 2 条附言 2016-03-29 17:24:40 +08:00
好123手机版劫持
忘记手机版也被劫持了,@owlsec 发现的
图7.好123手机版被劫持代码
图8.好123手机版被劫持添加TN参数:ops1014382e
 | 1 Peanut666 2016-03-29 00:05:58 +08:00 四川移动也劫持,帮顶 |
 | 3 Andy1999 2016-03-29 00:11:52 +08:00 via iPhone 应该是百度没用 HSTS 吧 所以在 http 层被劫持了 我还见过 https 强降 http 的… 打电话投诉说国家允许的 |
 | 4 alonga OP @Andy1999 HTTPS 强降 HTTP 应该是网页包含 HTTP 代码吧,代码被劫持了吧。 斩断他的利益链条,毕竟他搞这个是为了赚黑钱。 运营商的人劫持国内网站赚黑钱都判那么多个了,国家哪里允许运营商为了不法利益劫持国内商业网站? |
| 5 Andy1999 2016-03-29 00:20:04 +08:00 via iPhone @alonga 不是,伪造 TCP 包,服务器 IP 正确,第一个包伪造( 302 到 http )第二个包废弃(正确的 200 ) 毕竟地区特殊,开个 ss 都能被查水表 |
| 6 alonga OP @Andy1999 没这么神奇吧?证书列表没问题?目前 HTTPS 还没有太多公开漏洞大规模应用吧,即使偶尔有些漏洞,但用出来就会被修复啊。 正常情况下我的浏览器都是强制 HTTPS ,不需要 HSTS 。 |
 | 8 Totoria 2016-03-29 01:11:56 +08:00 移动一直都很劫持 |
 | 9 stabc 2016-03-29 06:06:18 +08:00 LZ 是好人,但我觉得这问题只有从根上解决,而如果你想从根上解决就有人参危险了。我几年前也努力过,给京东联盟写过邮件,还跟工信部的人吵过架,但是无济于事。 |
 | 10 chaegumi 2016-03-29 07:55:25 +08:00 tn=98290028_hao_pg |
| 11 chaegumi 2016-03-29 07:55:59 +08:00 tn=47018152_dg |
| 12 alonga OP @stabc 是有用的,京东等电商类广告费结算时间是 2 个月以上,那么 2 个月内封他账号就可以让他没黑钱赚了。百度是一个月的结算期,加上百度联盟处理慢,可能会被这些家伙搞到钱,但是百度是国内告运营商最多的公司,他即使黑到钱自己也要掂量掂量吧,呵呵运营商的人小心偷鸡不成蚀把米。 技术都是在分光做手脚,这技术原是用来保护匡胤家,现在运营商的小喽拿来诈骗匡胤家的公司,把黑钱捞进自己的口袋,可不是进郭家的钱袋。 运营商只是郭家的公司,连事业单位都算不上,由匡胤家的人来管理(主要是资本运作和镀金),运营商这层次的技术人员可不是匡胤家的人。 BAT 等网络公司部分股份可是匡胤家,而且是匡胤家私产。 所以你直接跟工信部投诉这种行为,其实很少管的,不过投诉也算运营商 KPI 考核,会扣他们工资的。 最好的方法就是让匡胤家的网络公司去搞他们,毕竟他们损害的是匡胤家的利益,对郭家也没好处。 于情于理于法都走的通。 @chaegumi 有些是浏览器、或者软件这类给百度推广也会有 TN 加上。 但如果干净的系统、应用软件情况下,就是劫持。 |
| 13 stabc 2016-03-29 08:48:10 +08:00 @alonga 首先这种举报成本太高了,你举报掉一个,人家轻松注册 10 个。你可能觉得申请一个联盟正好也要时间,但是人家可能是流水线作业,直接买联盟账号来做。而且你的时间比他们时间要宝贵的多。 根本问题是权利在他们手里,他们不跳转京东,可以跳转别的,反正赚 1 分钱也是赚,你还是被骚扰。曾经一度我访问优酷内页被插谷歌广告(通过 iframe 方式,一刷新就没了)。我们希望改变的事情是让他们停止劫持,而不是弹另外一家广告。 |
 | 14 pynix 2016-03-29 09:00:19 +08:00 狗咬狗 |
| 15 alonga OP @stabc 只要形成举报流程,一次举报对我来说就是 5 分钟而已,他买一套资料需要几百块的(对于严格的广告联盟,印象里百度联盟不是那么容易搞的,提现应该有限制),即使那种不严格的,我看见一个举报一个,他注册的成本肯定高于我举报成本,而且对于那种长时间放任注册的广告联盟就可以跟广告主直接说了,广告联盟自己都会收到牵连。 他的成本比我高。 而且他劫持影响的是以百万用户来记,江苏移动宽带好像有 500 万了。劫持一次对用户的影响就是 3s*5000000 约等于 173.61 天,即使单次针对性的举报,对我来讲是值得的。 |
| 16 alonga OP @stabc google adsense 账号不是那么容易注册的,一个账号就得 300-400 元,如果对应的银行账号又得几百块,而且账号风险相当高,你举报绝对会划算的。 举报地址 https://support.google.com/adsense/contact/violation_report |
| 18 stabc 2016-03-29 09:08:02 +08:00 @alonga 谷歌的投诉我觉得作用会大些,他们对于一些内容侵权都会处理,这种劫持类型的应该更会重视。下次我看到一定举报他 Y 的。 |
 | 19 la0wei 2016-03-29 10:19:13 +08:00 支持楼主,广告联盟审核严格的话楼主这种方式很有效。 |
| 20 Andy1999 2016-03-29 10:22:57 +08:00 via iPhone @alonga 强制 HTTPS 也没用,给你返回假的 TCP 包降 HTTP 地区特殊 国家允许这么干 |
 | 21 qq651438555 2016-03-29 10:48:09 +08:00 江苏电信也是这么干的,弄个举报流程出来,这样可以方便大家使用。关键是怎么样取证 |
| 22 alonga OP @Andy1999 这是什么黑科技? 应该是网站自己降到 HTTP 吧? 跟有些网站首页有 HTTPS 但故意转到 HTTP ,降低安全性,但提高访问性能。 我知道百度云在哈密瓜地区是开启特殊"照顾"的,就是类似这个?国内一些网站当访客 IP 是哈密瓜地区降级到 HTTP ? 不然是无法劫持的啊,如果有这黑科技还要姓方的干嘛? @qq651438555 Firefox 、 Chrome 、 Wireshark (数据抓包)、 PotPlayer (录像)、 MTR (路由跟踪)、干净的 Win7 系统或者 Linux (如果 Win 系统装的东西多,如: QQ 、 360 等,系统就不可能干净了,可以 U 盘装个 Linux 来取证) 基本就是这些。 |
| 24 alonga OP |
 | 28 VmuTargh 2016-03-29 14:53:00 +08:00 via Android |
| 31 Andy1999 2016-03-29 22:53:34 +08:00 via iPhone @alonga 讲道理 真的有,我有 HSTS Preload 但是 80 同时开着,我能收到很多从 80 访问的 HTTP 请求 |
| 32 alonga OP |
| 33 alonga OP @Andy1999 很多人的 Chrome 是不升级版本的,原因都懂。 所以很多版本的 HSTS Preload List 并没有更新。 |
 | 35 lyd600lty 2016-03-31 03:34:39 +08:00 tn 勾起了我昔日的回忆。。 |
Select Language