这是一个创建于 2265 天前的主题,其中的信息可能已经有所发展或是发生改变。
受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站
症状同两个月前的
t/572057
https://www.v2ex.co/t/572031
症状同两个月前的
t/572057
https://www.v2ex.co/t/572031
第 1 条附言 2019-08-12 12:46:53 +08:00
广州联通、南京联通、山东联通已恢复
根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
65 条回复 2020-04-23 20:38:28 +08:00
 | 1 dot2017 2019-08-04 00:17:39 +08:00 哦吼 这就很*了,骨干网的内鬼么 |
 | 2 yexm0 2019-08-04 00:23:04 +08:00 |
 | 4 CernetBoom 2019-08-04 03:37:54 +08:00 via Android @yexm0 不止电信,联通移动 连科技网都是这样 |
 | 5 well666 2019-08-04 09:45:17 +08:00 via iPhone 狠 |
 | 6 mytsing520 PRO 上午 10 点,杭州电信测试已经恢复。 |
 | 7 Peanut666 2019-08-04 10:24:34 +08:00 四川电信,劫持依然存在 |
| 8 mytsing520 PRO 上午 10 点 05,杭州电信测试恢复劫持。 |
 | 9 lp10 2019-08-04 10:49:57 +08:00 2019-08-04 10:45 UTC+8 同 IP 无代理,mac Safari 访问正常,新 Edge 跳转菠菜 哈??? |
 | 10 Windelight 2019-08-04 10:50:34 +08:00 via Android  3 10 点 12 分,河北联通、河北移动仍未恢复 另外有趣的是河北联通跳转到一个 0031001569 点 res 点 websd8 点 com 的网站,河北移动跳转到 40010009 点 echatu 点 com 的网站 前者安装包叫 com.game.ddz-v1.0.0.5.apk ,后者叫 cf0728_channel_9.apk 前者下载地址是 app-eslz3u 点 openinstall 点 io/install/c/eyJkIjp7InNwcmVhZGVyIjoiMDAzMTAwMTU2OSJ9LCJtIjoiZnFJcGZ4ZDNpajRBQUFGc1dtVDBLUnNVTnVLWXU2VTRuNlNVcUlhVm1WVkVYUFAxRlNUc1h4S1dlUEE4X0NIelFmSSJ9 后边的地址是 apk 点 wanlongcaifu 点 com/v60/cf0728_channel_9 点 apk 经过查看,后者下载地址竟然还特么带 https?? 沃特玛现骗子还这么高级?? 经过百度和必应查询,之前本以为就是附近的固安万隆财富广场,结果一查不是,百度和必应复合结果如下 1.某些 seo 查询网站留下的一堆无意义历史记录 包括 70dir 点 com,chinaz 点 com,都是搜索引擎对这些网站的历史记录所留下的缓存 2.在 21CN 门户聚投诉下面一个 id 为 CN1012987 的投诉,大致意思是有人被微信上的推销读博 app,然后被骗钱,重点来了,那个 app 叫超飞娱乐,地址是 40011126 点 wanlongcaifu 点 com,后者页面完全一致!!! 3.还有一个更大的包,就是在必应上查到了某不知名的网址导航提供了公司名 地址是 zibo 点 26595 点 com/daohang/967086.html 那个公司叫做 淄博晖博投资有限公司 好了,收集到了以上信息,当然那个网址导航的信息真实性可疑,但是也要从别的地方入手了 首先我赶快下载了一个 Chrome Mobile,把原网址换成 40011126 那个,然后加上 https,好了 get 到了 https 证书,非常遗憾这特么用的是 Let's Encrypt,假设他们要是能用 EV SSL 的话那我不就........ 当然这个不存在了,下面就只能信一下那个网址导航了。 下面打开天眼查,输入该公司名称,真的查到了,法代叫做 于修强,该公司真的有一个备案叫做 淄博晖博投资有限公司万隆财富 的网站,地址同,备案号是 鲁 ICP 备 16020641 号,经工信部网站验证确定该备案主体-1 的备案号就是这个网站,然后直接打开就是最开始后者的页面 这个公司是 2015 年 11 月 12 日成立,备案是 2016 年 6 月 6 日 未完待续............. (上述域名请自动补齐 http/https 协议头和点) |
 | 11 dahounet 2019-08-04 11:01:44 +08:00 via Android 有人在骨干网(或者是某墙)上面搞劫持? |
 | 12 jousca 2019-08-04 11:55:32 +08:00 四川移动刚才测试也是劫持依然存在 |
 | 13 scnace 2019-08-04 12:00:55 +08:00 via Android 浙江电信没挂代理跳转到 https://40010009.echatu.com/ |
 | 14 lzp7 2019-08-04 12:05:01 +08:00 via Android 山东移动稳定复现 |
| 15 lzp7 2019-08-04 12:06:49 +08:00 via Android 劫持地址和上面几楼不太一样 http://0031001569.gzxnlk.com/ |
| 16 jousca 2019-08-04 12:21:20 +08:00 1 @dahounet 灰色产业,在过滤设备上劫持某些非国内网站跳自己黑产上。内外勾结或者职务之便。知道对方和客户都无法投诉举证。 |
 | 18 derekwei 2019-08-04 15:51:37 +08:00 投诉给电信就给我我回了句“我们工程师没有检查到类似问题”,还要我提供访问网站的网址。 |
 | 19 loukky 2019-08-04 16:40:23 +08:00 |
 | 20 BlitheHusky 2019-08-04 17:30:26 +08:00 via Android 江苏电信稳定复现。 一开始拿手机发现正常,再看看是走了代理。 |
 | 21 ZRS 2019-08-04 18:09:58 +08:00 稳定复现 |
 | 22 ochatokori 2019-08-04 20:46:58 +08:00 via Android 广州移动 4g 复现 |
| 23 jousca 2019-08-04 20:55:28 +08:00 感觉这个方式就是典型的 BGP 劫持 |
| 24 CernetBoom 2019-08-04 21:02:27 +08:00 via Android @jousca 哈? BGP Hijack 你 ICMP 还能通? |
| 25 jousca 2019-08-04 21:03:07 +08:00 |
| 26 jousca 2019-08-04 21:05:52 +08:00 @CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由?? |
| 27 CernetBoom 2019-08-04 21:08:04 +08:00 via Android |
| 28 jousca 2019-08-04 21:11:11 +08:00 @CernetBoom 观察到了。TCP 异常,而且出问题的地方都在关键出口,看来我在 16 楼推测是对的,就是利用 GFW 设备的灰产。ICMP 反而正常。 |
| 29 jousca 2019-08-04 21:16:48 +08:00 确认了一遍。墙外正常,包括 HK 都正常,出问题都在墙内。 |
| 30 jousca 2019-08-04 21:19:00 +08:00  |
| 31 loukky 2019-08-04 21:25:48 +08:00 |
 | 32 bibiisme 2019-08-04 21:51:28 +08:00 教育网下午还有劫持,刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳,这个劫持的手也伸得太长了 https://s2.ax1x.com/2019/08/04/ecpyqA.png https://s2.ax1x.com/2019/08/04/ecpcVI.png |
 | 33 Liqianyu 2019-08-05 00:00:57 +08:00 via iPad 北京联通、北京移动、上海阿里云、杭州阿里云复现。 |
| 34 Liqianyu 2019-08-05 00:04:00 +08:00 via iPad 跟上一条 通过 IPIP 可以判断大陆整体都有劫持。 发链接会触发 V2EX 验证手机号要求。 |
 | 36 smileawei 2019-08-05 16:39:31 +08:00 查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的 |
| 37 smileawei 2019-08-05 16:46:41 +08:00 这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。 |
| 38 smileawei 2019-08-05 16:51:22 +08:00 |
 | 39 Kowloon 2019-08-05 16:54:42 +08:00 via iPhone 天津联通:复现。 香港宽频:正常。 |
| 40 Peanut666 2019-08-05 18:53:06 +08:00 这么高级权限的劫持,该往哪个部门投诉? |
 | 41 tinyzhang 2019-08-06 14:17:43 +08:00 |
 | 42 Caussti 2019-08-06 15:08:46 +08:00 广州电信:复现 香港联通:正常 |
 | 43 EdifierDrew 2019-08-06 22:07:29 +08:00 via iPhone |
 | 44 txydhr 2019-08-07 10:17:00 +08:00 给纪....检写举报...信? |
 | 45 WGzeyu 2019-08-11 16:39:09 +08:00 @Windelight 现在是 2019 年 8 月 11 日 16:38:23,河北电信、河北联通仍未恢复 |
| 46 Windelight 2019-08-11 19:28:57 +08:00 via Android 我好像已经不能评论了 |
| 47 Windelight 2019-08-11 19:31:12 +08:00 via Android |
| 48 Windelight 2019-08-11 19:38:18 +08:00 via Android 不过既然坑都留下了,能不填吗? 我把那天编辑好的就发出来吧 我又打开 Taob 无线端上的旺旺,找到 2 个月前花 5kuai9 买的 1 年 VIP 的天眼查 gongxiang 帐号,登录上去之后查到其公司邮箱为 zbhbtz 爱特 163 点 com,电话为 188 伍叁叁贰贰妖妖舞,剩下信息大家可以自己去公示网或者其它商业工具网站查,反正我不信他们可以实缴注册资本 500 万。 接着挖,这个人名下还有别的公司,叫做 桓台县城区全顺通讯器材销售部 ,类型为个体工商户。这个 ziben3 万我感觉这倒有可能实缴了。这次电话变了,是 189 伍叁叁陆叁妖妖灵,至于经营范围什么的大家可以自己查。 邮箱查询无果。 手机号查询结果: 百姓网本地招收银员,天眼查、企 cha 查、启 xin 宝、顺企网、各种公司黄页网等等等等的介绍 经过 SNS 查询,此人 koukou 号未知但上面写的是男 37 岁???? micro message 上写的是山东淄博男,就确定是你了!皮卡丘!不过好像没什么有用的信息。 同样的还有 alipay,这次获取到了这个 old 男人 ei wei 画质的照片,经校验是于某某,照片啥样大家自己 alipay 搜,还是处女座。 |
| 49 Windelight 2019-08-11 19:47:06 +08:00 via Android 目前更新一下, 河北联通宽带和 4G 跳转为 http 爱思://40010009 点 echatu 点 com 移动 4G 跳转到 http 艾斯://www 点 tt3sm4 点 cn 斜杠?signature=RUhTN3pKNHM0&num=1061 不明白后边的 sig 是什么意思 这个新的下载链接可特么长了 htt 劈://111 点 47 点 203 点 233 斜杠 apk/lxxfgj/c/eyJkIjp7InNpZ25hdHVyZSI6IlJVaFROM3BLTkhNMCIsIm51bSI6IjEwNjAifSwibSI6IkJEQlB6eU1ub1V3QUFBRnNnSDE5bjlLeC1WRmdVVUlEOGxkSkRaZHlMNjJLby1TbzJoWmlINFMtWTVjQnJaNUtZVmxQYWRjYjQ4MkV4Si1WV2o2blpOTW1KNTNhaHY5cm9oVTBMNUU2M0VHU2NwVkdWbkpFQ0xJRFBRc3QzeGtBWU5HX1VUTXh5SC1LWFROcUNOTVh6SGVOWjNocVY1Z3EtRlIwRlpaaFJ6a0dRVGpzdHBOczYtYlV1RzFHaDRxcGZ4azlsSGI1Q1ViZXNOQ0xDek13UUpVaFl3SmFPMm5MNGNWb1JpUDc2bGMifQ 斜杠 com 点 menghuan 点 mhyl-v1.6.0 点 apk 前边的 wanlongcaifu 没有变化 另外 openinstall.io 这个网站不知道大家有没有人想投诉一下? |
 | 51 Fangshing87 2019-08-12 03:38:48 +08:00 via Android 40010009 点 echatu 点 com 辽宁沈阳联通已被劫持 |
 | 52 Silently 2019-08-12 10:43:21 +08:00 via iPhone 广东联通 菠菜网 墙外梦幻娱乐 |
 | 55 diguoemo 2019-08-13 12:49:12 +08:00 via Android 四川联通 lte 还是被劫持 |
 | 56 laozhoubuluo 2019-08-13 22:33:19 +08:00 北京联通 宽带 TCP 仍然劫持 劫持前上一跳:219.158.15.38/AS4837/广州联通 北京移动 宽带 TCP 仍然劫持 劫持前上三跳(后两跳禁 Ping,没办法):211.136.67.45/AS56048/北京移动 |
 | 57 mnihyc 2019-08-14 05:03:10 +08:00 这太可怕了吧,刚刚测了一下确实 TCP 在出口倒二跳被劫持了 @jousca 根据这里面截图的内容找到一个 CMS,http://smc.5vl58stm.com/smc1/www/,搜到是这个东西 http://211.151.32.20/ ,貌似是自主研发的,但是这里面不存在 getOneDomain.php ,所以目测上面那个是被挖到洞然后黑掉了。 刚才大概看了一下似乎没有留下什么痕迹,毕竟没有源代码。 |
| 58 jousca 2019-08-14 20:22:25 +08:00 @mnihyc 那个文件在,注意大小写。http://smc.5vl58stm.com/smc1/www/getOneDomain.php |
| 59 mnihyc 2019-08-17 11:45:08 +08:00 @jousca 我的意思是在 http://smc.5vl58stm.com/smc1/www 里找到的这个文件,但是使用同样 CMS 的看上去像官网 http://211.151.32.20/ ( http://www.515game.com ) 没有,再加上这两个网站都有一定概率在源代码的 head 标签后刷出加载 http://t.7gg.cc:88/j.js?MAC=747D245541A2 的 script 标签,说明是有很大可能是被黑了(个人推测)。 |
 | 60 Xusually 2019-08-20 12:38:19 +08:00 北京电信稳定复现 |
 | 61 chenyx9 2019-08-20 18:29:38 +08:00 东莞联通,依然被劫持。 |
 | 62 dyy1997 2019-08-22 16:34:57 +08:00 成都电信,跳转到 https:##www.jwhy520.com/3/200001/ |
 | 63 jy00566722 2020-02-13 12:59:40 +08:00 四川广安电信,现在还在。不过中转 url 挂了,出现错误页面。 |
| 64 jy00566722 2020-02-13 13:00:04 +08:00 劫持域名的所有者:[email protected] |
 | 65 ObserverLight 2020-04-23 20:38:28 +08:00 @Windelight https://info.umeng.com/detail?id=75&cateId=1 流量劫持的问题,看过这篇友盟官方解释就可以明白了:这种问题既不是友盟的问题也不是 openinstall 的问题,而是发生在部分地区、部分运营商的“运营商”劫持。具体是不是运营商官方干的,我不敢说,但基本上可以肯定是运营商局端的网络路由被劫持了造成的。这种情况不应找友盟和 openinstall 解决,而是应该向运营商报障解决(如果是某些不良运营商所为的话,可以向工信部投诉这些运营商) |
Select Language