这是一个创建于 3413 天前的主题,其中的信息可能已经有所发展或是发生改变。
对于电信 DNS 劫持我是见怪不怪了,但没想到的是居然这么没底线投涉黄,诱导,下载 apk 类广告。本来我也不用电信 DNS ,一直都用 4 个 8 ,但延迟太高了,所以除本机外家里路由器里设置的是江西电信 DNS 。把那些电信 push 广告 ip 屏蔽后也就没什么问题。
直到 6 月 1 日凌晨,睡前用手机 uc 再逛逛。输入熟悉的网址后居然弹出个低俗暗示,恶意广告页面,还弹出 apk 下载。一想莫不是输错,细看果然是输错网址了。到这一步了我想不会是被电信劫持了吧,果断又编了个错误域名访问“ fuck.youjxdx ”,又弹出相同的恶意页面。但半夜了还是觉得明天再在 PC 上测试下就知道了。
下午开机先设置 dns 为江西电信 dns ,然后在 chrome 里访问错误域名。返回的居然是个百度搜索导航类的页面,呵呵,“三观挺正的”。然后 chrome 内开启 mobile 调试,额。。。这页面结果好羞涩啊,还弹出 apk 下载, apk 的名字也有意思啊,什么“原 qvod.apk ”,“激情电影播放器”。。。本着追根溯源的原则,用 nslookup 看下了,域名错误的情况下, 202.101.224.69 和 202.101.226.68 这 2 个江西电信主辅 DNS 的返回结果是 61.131.208.211 或 61.131.208.210 。
我便又依次将 DNS 更改为 114 , google ,深圳,湖南电信 DNS 等测试了下,发现没有以上劫持问题。为了证明不是个人网络问题,在在线 DNS 查询页面查询了针对江西电信 DNS 的错误域名查询,返回结果一致,果然这事实是毋庸置疑的。
接着查看那个劫持后页面 html ,里面有 2 个 iframe 组成,一个为 58cv.com,另一个为隐藏的 iframe ,页面地址为 61.131.20.211/cs.html 。 58cv.com 这个页面在 pc 端为百度搜索导航类广告,在移动端为“哇哈”类似一个小段子消息页面。而那个隐藏 iframe 里表面上看是站长统计,细看 html ,发现里面有这 2 行广告 js :“ click.gutun.net/s.php?id=45 ”“ click.gutun.net/s.php?id=46 ”,访问后发现 document 输出为空,看样子是针对移动端设备的,开启移动模拟广告 js 代码就出来了。。
接下来就是去看 58cv 和电信是什么关系了,查看 whois 和 icp 备案得知归一家叫“北京麦酷信息技术有限公司”所有,查看公司网站,具体的公司地址联系全无,所做业务全是依托电信相关的。又搜索了下,发现该公司有一条在智联招聘上的招聘信息,公司地址出来了:“江西省南昌市高新二路高新创业大厦”。
至此江西电信 DNS 劫持错误域名到广告的流程已经清晰明了了,以下是投诉纪实。
接下来怎么办呢,如果我个人的话问题很好解决,不用你江西电信的 DNS 就是了。但这尼玛吃相太难看了,也不考虑考虑祖国的花朵就这样被你们的广告所腐蚀。。。想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光,手不由自主的打开电信 189 网站投诉页面,写下了了以上分析的简述。
电信 189 投诉效率还挺高的,当天晚上 18979177165 打来电话,说这是合作公司的业务,他会向对方反馈。第二天 10000 打来电话也是说向对方反映。可是过了两天我再测试了下发现问题依旧,果然主管人员觉悟不高,没有发现问题的严重性。我来到工信部网站投诉下,又过了两天,傍晚 01012300 发来短信说:您提交的材料已收悉,但是你名字没写全所以本次不受理,但将材料转交电信。
8 号 10000 打来电话说,我们这里测试没发现问题啊,手机访问只是会打开一个笑话网站(说明还是劫持了)不是什么色情,涉黄之类的恶意广告页面。然后问我是否需要让他们的工作人员过来测试下线路,我说要么我再测试下看看。下午发现恶意广告没了,想了想不对,怎么就没了呢,难道我“冤枉”他了。再次查看页面 html ,发现上文说的那个隐藏 iframe 的 cs.html 页面被替换为 statics.html 。查看源文件,果然 click.gutun.net/s.php?id=46 的广告 js 被删掉了,而且那个原 cs.html 也删除了。呵呵果然做贼心虚,既然这样就有测试下劫持问题,发现问题依旧,只是把那个恶意广告删了。
继续在 189 上投诉,傍晚接到一个一线装维人员的电话,问我的宽带有什么问题。顿时我对电信真是火冒三丈,投诉里都写的一清二楚的,你们的工程师应该知道的,现在推到装维人员这里来,和他们怎么说的清。既然这样,你就上门来看吧。过了会儿, 2 个装维人员过来了,给他们看 nslookup ,不看,一个说这是 ping 没用,哎果然和我预想的一样,这简直就是对牛弹琴。那就看最直接的,访问不存在网站,然后返回的是百度导航之类页面,让他们看。他们又在自带的笔记本上也试了下,说是有这个问题,然后他们就回去了。
第二天下午 10000 打来电话说问题的解答已下发到手机,我说好。挂了电话一看短信:“社区经理已上门检测用户线路正常,用户只要输错网址就会弹出百度页面,在其他电脑测试也是一样”,这是回复吗,我读书少你不要骗我。这尼玛是装维对上级反馈的信息好嘛,难道你的意思是大家都在吃屎,你就不要挑肥拣瘦了。
下午又到 http://61.129.250.80/workorder-web/189_menhu.jsp 电信集团投诉页面上投诉,然后今天下午由接到一个 10000 电话,对于恶意广告还是不承认,至于广告页面针对移动设备而现实哇哈的问题,说不对移动设备负责,只对电脑负责,巴拉巴拉了半个小时还是无果,真是鸡同鸭讲。。。
好吧今天写到这了,明天我再到工信部网站投诉下。
直到 6 月 1 日凌晨,睡前用手机 uc 再逛逛。输入熟悉的网址后居然弹出个低俗暗示,恶意广告页面,还弹出 apk 下载。一想莫不是输错,细看果然是输错网址了。到这一步了我想不会是被电信劫持了吧,果断又编了个错误域名访问“ fuck.youjxdx ”,又弹出相同的恶意页面。但半夜了还是觉得明天再在 PC 上测试下就知道了。
下午开机先设置 dns 为江西电信 dns ,然后在 chrome 里访问错误域名。返回的居然是个百度搜索导航类的页面,呵呵,“三观挺正的”。然后 chrome 内开启 mobile 调试,额。。。这页面结果好羞涩啊,还弹出 apk 下载, apk 的名字也有意思啊,什么“原 qvod.apk ”,“激情电影播放器”。。。本着追根溯源的原则,用 nslookup 看下了,域名错误的情况下, 202.101.224.69 和 202.101.226.68 这 2 个江西电信主辅 DNS 的返回结果是 61.131.208.211 或 61.131.208.210 。
我便又依次将 DNS 更改为 114 , google ,深圳,湖南电信 DNS 等测试了下,发现没有以上劫持问题。为了证明不是个人网络问题,在在线 DNS 查询页面查询了针对江西电信 DNS 的错误域名查询,返回结果一致,果然这事实是毋庸置疑的。
接着查看那个劫持后页面 html ,里面有 2 个 iframe 组成,一个为 58cv.com,另一个为隐藏的 iframe ,页面地址为 61.131.20.211/cs.html 。 58cv.com 这个页面在 pc 端为百度搜索导航类广告,在移动端为“哇哈”类似一个小段子消息页面。而那个隐藏 iframe 里表面上看是站长统计,细看 html ,发现里面有这 2 行广告 js :“ click.gutun.net/s.php?id=45 ”“ click.gutun.net/s.php?id=46 ”,访问后发现 document 输出为空,看样子是针对移动端设备的,开启移动模拟广告 js 代码就出来了。。
接下来就是去看 58cv 和电信是什么关系了,查看 whois 和 icp 备案得知归一家叫“北京麦酷信息技术有限公司”所有,查看公司网站,具体的公司地址联系全无,所做业务全是依托电信相关的。又搜索了下,发现该公司有一条在智联招聘上的招聘信息,公司地址出来了:“江西省南昌市高新二路高新创业大厦”。
至此江西电信 DNS 劫持错误域名到广告的流程已经清晰明了了,以下是投诉纪实。
接下来怎么办呢,如果我个人的话问题很好解决,不用你江西电信的 DNS 就是了。但这尼玛吃相太难看了,也不考虑考虑祖国的花朵就这样被你们的广告所腐蚀。。。想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光,手不由自主的打开电信 189 网站投诉页面,写下了了以上分析的简述。
电信 189 投诉效率还挺高的,当天晚上 18979177165 打来电话,说这是合作公司的业务,他会向对方反馈。第二天 10000 打来电话也是说向对方反映。可是过了两天我再测试了下发现问题依旧,果然主管人员觉悟不高,没有发现问题的严重性。我来到工信部网站投诉下,又过了两天,傍晚 01012300 发来短信说:您提交的材料已收悉,但是你名字没写全所以本次不受理,但将材料转交电信。
8 号 10000 打来电话说,我们这里测试没发现问题啊,手机访问只是会打开一个笑话网站(说明还是劫持了)不是什么色情,涉黄之类的恶意广告页面。然后问我是否需要让他们的工作人员过来测试下线路,我说要么我再测试下看看。下午发现恶意广告没了,想了想不对,怎么就没了呢,难道我“冤枉”他了。再次查看页面 html ,发现上文说的那个隐藏 iframe 的 cs.html 页面被替换为 statics.html 。查看源文件,果然 click.gutun.net/s.php?id=46 的广告 js 被删掉了,而且那个原 cs.html 也删除了。呵呵果然做贼心虚,既然这样就有测试下劫持问题,发现问题依旧,只是把那个恶意广告删了。
继续在 189 上投诉,傍晚接到一个一线装维人员的电话,问我的宽带有什么问题。顿时我对电信真是火冒三丈,投诉里都写的一清二楚的,你们的工程师应该知道的,现在推到装维人员这里来,和他们怎么说的清。既然这样,你就上门来看吧。过了会儿, 2 个装维人员过来了,给他们看 nslookup ,不看,一个说这是 ping 没用,哎果然和我预想的一样,这简直就是对牛弹琴。那就看最直接的,访问不存在网站,然后返回的是百度导航之类页面,让他们看。他们又在自带的笔记本上也试了下,说是有这个问题,然后他们就回去了。
第二天下午 10000 打来电话说问题的解答已下发到手机,我说好。挂了电话一看短信:“社区经理已上门检测用户线路正常,用户只要输错网址就会弹出百度页面,在其他电脑测试也是一样”,这是回复吗,我读书少你不要骗我。这尼玛是装维对上级反馈的信息好嘛,难道你的意思是大家都在吃屎,你就不要挑肥拣瘦了。
下午又到 http://61.129.250.80/workorder-web/189_menhu.jsp 电信集团投诉页面上投诉,然后今天下午由接到一个 10000 电话,对于恶意广告还是不承认,至于广告页面针对移动设备而现实哇哈的问题,说不对移动设备负责,只对电脑负责,巴拉巴拉了半个小时还是无果,真是鸡同鸭讲。。。
好吧今天写到这了,明天我再到工信部网站投诉下。
第 1 条附言 2016-06-13 14:35:04 +08:00
2016-6-13 更新:
正如我昨天所说,准备今天到工信部再次投诉。投诉前我又测试了下,浏览器上错误网址一直在加载然后超时,然后进 nslookup 看了下,返回劫持依旧,只是浏览器上打不开了。看样子估计有可能是针对我这个账号屏蔽了那个劫持后的广告 ip ,为了验证这个猜测,用在线网站测速对劫持后返回的 ip 进行测速,发现网站没问题可以打开,然后本地 tracert 跟踪了下,发现到了这个 117.41.250.182 之后就跟丢了, ping 也不通。手机开启移动数据流量,访问那个 ip ,结果一如既往那个熟悉的哇哈页面,果然针对我这个账号屏蔽个那个 ip 。
有使用江西电信的朋友,可以自己测试下
正如我昨天所说,准备今天到工信部再次投诉。投诉前我又测试了下,浏览器上错误网址一直在加载然后超时,然后进 nslookup 看了下,返回劫持依旧,只是浏览器上打不开了。看样子估计有可能是针对我这个账号屏蔽了那个劫持后的广告 ip ,为了验证这个猜测,用在线网站测速对劫持后返回的 ip 进行测速,发现网站没问题可以打开,然后本地 tracert 跟踪了下,发现到了这个 117.41.250.182 之后就跟丢了, ping 也不通。手机开启移动数据流量,访问那个 ip ,结果一如既往那个熟悉的哇哈页面,果然针对我这个账号屏蔽个那个 ip 。
有使用江西电信的朋友,可以自己测试下
 | 1 z416177937 2016-06-12 18:18:53 +08:00 给个大赞,就要这样,运营商现在太过了,垄断不干事,等国家放开这个,你还就去 si 吧。带宽会变大,价格会下降~ |
 | 2 owt5008137 2016-06-12 18:43:45 +08:00 via Android 赞一个,这种劫持是要整治一下,不然太过分了 |
 | 3 SoupNeverHot 2016-06-12 18:52:50 +08:00 我在路由器里设置的阿里 DNS 和腾讯 DNS 。 15 年底,在工信部投诉河北联通的 DNS 劫持。免了两年宽带费。 但是……如果路由器里不设置 DNS ,还是劫持。 |
 | 4 157003892 2016-06-12 19:34:05 +08:00 via iPhone 垄断行业公司的强权,小宽带又太渣,只有默默地改 DNS 用 |
 | 5 jasontse 2016-06-12 20:04:32 +08:00 via iPad 江西电信有 4 组 DNS 202.101.224.68 202.101.224.69 202.101.226.68 202.101.226.69 其中 224 在南昌, 226 在九江,九江在江西电信建网初期也是个省级出口节点。 |
 | 6 rocknjoekudo 2016-06-12 20:14:16 +08:00 现在真正意义上的 DNS 劫持已经很少了,直接针对非加密协议进行替换(某炮的雏形)。全国各地这种 ISP 级别的广告业务都是包给了关系户,所以某种意义上 ISP 对这些关系户的业务本身无法直接操作。现在内部的广告投放业务已经混乱到一定程度了,有的时候就算是找到宫信步也不一定 100%解决问题。 百度和阿里在流量大站上 https 的一个很重要原因就是为了维护自己的广告流量,要不时间长全是这些关系户的了。 当然了,现在还有针对 IDC 级别的流量劫持,到时候投诉 ISP 都没用。 |
 | 7 aalska 2016-06-12 20:25:06 +08:00 @SoupNeverHot 免了两年。。。。 |
 | 8 jimzhong 2016-06-12 20:27:00 +08:00 我之前也投诉过福建电信劫持 apk 下载的。也是把工单推给外线工,不承认有劫持。 |
 | 9 fashioncj 2016-06-12 21:09:36 +08:00 然而并没有用,把确切的抓包信息发给移动工作人员,最后还是不承认劫持。。我也是醉了 |
 | 10 Oi0Ydz26h9NkGCIz 2016-06-12 21:36:04 +08:00 想到这一点,顿时感到胸前的红领巾更鲜艳了,肩上的五道杠在闪闪发光…… 楼主是奥特曼转世。。。 是不是 http 劫持呢? |
 | 11 daolin 2016-06-12 21:47:49 +08:00 via iPhone 同江西电信 天天弹广告…无力吐槽 |
 | 12 autocar23 2016-06-12 21:51:44 +08:00 支持肛运营商 |
 | 13 marvinwilliam 2016-06-12 22:21:42 +08:00 好巧,杭州也是,在我们使用 https 之前,劫持后注入了那种广告...你懂的....有客户截图过来过... |
 | 14 richzhu 2016-06-13 00:04:09 +08:00 via iPhone 用百度的吧,暂时木有发现什么劫持 |
 | 15 zhaojjxvi 2016-06-13 01:10:23 +08:00 via iPhone 端午回鹰潭岳父家过节,五一给配的电脑,问我网络怎么了,有时候半夜不关下载东西,会跳出本地招嫖的信息,哎我去。。。 |
| 17 zhaojjxvi 2016-06-13 08:18:34 +08:00 via iPhone @mrhuiyu 当时想分析分析这个页面到底什么情况的,妈的想想女婿在岳父家上招嫖网站的画面要是被人看到了,我以后还能不能回去了? |
 | 18 billwang 2016-06-13 08:22:24 +08:00 就需要这样认真的人,支持楼主。 |
 | 19 icsoc 2016-06-13 08:51:06 +08:00 赞认真严肃对待生活的人 |
 | 20 duluosheng 2016-06-13 09:13:58 +08:00 推荐楼主使用 Pcap_DNSProxy ,可以有效防止 dns 污染和劫持 https://github.com/chengr28/Pcap_DNSProxy/tree/Release |
 | 21 Canrz 2016-06-13 10:53:50 +08:00 大赞,我是没有这样认真执着的心 |
 | 22 yjd 2016-06-13 11:16:51 +08:00 @duluosheng 他自己当然有能力解决。主要是想到身边一堆小白。 lz 雷锋啊 |
 | 25 z742364692 2016-06-13 14:44:54 +08:00 怎么感觉四川的坏境好棒,从来没遇到过劫持,三大 isp 都没有 |
 | 26 qzr 2016-06-13 15:00:06 +08:00 我江西南昌电信也有同样的问题,一样的形式。暑假投诉过一次,没有反应,对方总说是本地电脑“中毒了“等等搪塞。开学后就去学校了,没有能坚持斗争到底。现在父母在家换用广电的宽带,便宜不少,质量还过得去。 |
 | 27 doyel 2016-06-13 15:16:37 +08:00 看来上海电信给劫持到 2345 和 hao123 还有搜狗算是比较正派的了。。。。 |
 | 28 ibugeek 2016-06-13 16:02:06 +08:00 之前也是挟持,直接工信部投诉,我都懒得和她解释,直接说转技术部讨论技术,不然就帮我解决这个问题,态度十分强硬,否则就一直投诉。后面就帮我改了。 |
 | 29 hythyt9898 2016-06-13 16:15:10 +08:00 现在的吃相太难看了,去年一堆互联网公司集体投诉流量劫持,还是不了了之。 |
 | 30 zlylong 2016-06-13 16:16:51 +08:00 现在是 http 劫持。。。 JD 的 app 劫持的很厉害,上海电信。 |
 | 31 xxhjkl 2016-06-13 16:55:59 +08:00 浙江已经启用 http 劫持了 dns 太 low 了 官方说法是 给你推送的 投诉可以把你从推送列表移出去 |
 | 32 ihuzhou 2016-06-13 17:29:31 +08:00 我能说半年前我的百度都被劫持了么,虽然现在不用了 |
 | 33 fstab 2016-06-13 18:13:24 +08:00 @z742364692 四川联通过来打你脸, http 劫持,恶心的一笔,投诉几个网站,就撤销几个,不投诉,就继续。 |
 | 34 surefire 2016-06-13 19:10:53 +08:00 过程要拍照留念。。。 |
 | 35 alexapollo 2016-06-13 19:46:20 +08:00 果断送出感谢 |
 | 36 Peanut666 2016-06-13 21:14:54 +08:00 @z742364692 四川移动过来打你脸,京东、唯品会、百度都有 http 劫持,强行跳转返利页面 |
 | 37 lqzhgood 2016-06-13 21:15:02 +08:00 我这都是 HTTP 劫持。 而且所有其他的 DNS 服务器全部无法访问 上次投诉也是运维的人 讲半天对面也不知道什么。。。 然后来了个机房的 也是搞不清。 说他们也不清楚 也没权限 只能往上反映 没了。。 我觉得投诉最麻烦的就是 没法快速和对面说清楚 HTTP 劫持是什麽…… |
| 38 z742364692 2016-06-14 00:44:01 +08:00 via Android |
 | 39 baoguok 2016-06-14 10:00:37 +08:00 投诉吧,部分地区的运营商没底线的 |
 | 40 flowfire 2016-06-14 13:17:25 +08:00 报警说电信运营商涉黄会怎么样 |
 | 41 xtddd 2016-06-15 20:01:22 +08:00 @duluosheng Pcap_DNSProxy 中 Alternate Multi Request 设置成 1, Local Main 也设置成 1, 路由表识别可以不开吧 |
 | 42 Mayer 2016-07-29 13:10:27 +08:00 建网初期确实九江是省级出口节点 现在不知道为啥好多线路跟踪之后都会从南昌绕一圈再出去 延时高了一圈 同江西电信 |
Select Language