curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
第一次返回
<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>
再请求一次返回
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
抓包结果中恶意的 200 响应是抢答内容
tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
水落石出 #385 @JDSecOffical
感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。
201
sigmapi 2018-11-26 11:38:06 +08:00 1
以前碰到过,一开始以为是国产梅林的锅,刷了 ddwrt 还存在,以为是电信劫持,用 https 可破就没管了
|
202
Rubbly 2018-11-26 11:40:18 +08:00
北京联通 复现
|
203
hahastudio 2018-11-26 11:40:45 +08:00
LA 复现,后排吃瓜
|
204
firedsxist0 2018-11-26 11:40:55 +08:00
他说他是京东员工,你们真信啊...都不求证一下的嘛?
|
205
scnace 2018-11-26 11:40:59 +08:00
返利鬼才。。。
|
206
tongz 2018-11-26 11:42:21 +08:00
战略性 mark
|
207
zhoumushui 2018-11-26 11:46:16 +08:00
深圳电信复现,持续关注
|
208
chioplkijhman 2018-11-26 11:47:26 +08:00
|
209
xujiang 2018-11-26 11:47:33 +08:00
杭州电信复现
|
210
affyun 2018-11-26 11:47:35 +08:00 via Android
二手套路内鬼狗东
|
211
zhangfeiwudi 2018-11-26 11:53:27 +08:00
上海电信复现
|
212
qk3z 2018-11-26 11:54:17 +08:00
后排吃瓜看戏
|
213
QK8wAUi0yXBY1pT7 2018-11-26 11:56:30 +08:00
如果真是京东自己内部做的,可以坐实地域歧视了吧?
另一方面,四川有的人,天高皇帝远,做事太大胆... |
214
raycheung 2018-11-26 11:59:47 +08:00
杭州移动复现。
|
215
november 2018-11-26 12:00:25 +08:00 2
@DylanZ 不会发图。这是 google 搜索缓存的能够看到的最后的回复。你可以自己关键字搜索下。
该账号直至今日也无任何活动现象,估计被 ban 了。 @eddiewithyou 1 天前 via iPhone ♥ 1 20181027 15:30 左右 今天收到客服电话,说她会争取 2 万-2 万 5 的赔偿额,谈好了让我签个和解函。 我拒绝了。我的主张是退一赔三。 不满足就周二中院起诉。 目前等对方协商。 |
216
JmmBite 2018-11-26 12:07:14 +08:00
又有封口费可以拿了。
|
217
Osk 2018-11-26 12:08:44 +08:00
|
218
ooeyunarika 2018-11-26 12:11:40 +08:00
ggc hk 复现,mark
|
219
C2G 2018-11-26 12:12:34 +08:00 via Android
浙江 电信&4g/移动 4g&宽带 /联通 4g 均复现
|
220
lilydjwg 2018-11-26 12:14:31 +08:00 via Android
看起来更像是这个 cdn 节点被人做了手脚啊。
|
221
Osk 2018-11-26 12:14:46 +08:00
还有就是可能这个 cdn 节点被动手脚了
|
222
easylee 2018-11-26 12:15:56 +08:00
坐标南昌,发现此问题。
和楼主描述一模一样。 |
223
Hconk 2018-11-26 12:16:01 +08:00 via Android
关注下
|
224
ferock 2018-11-26 12:16:22 +08:00
看起来更像是这个 cdn 节点被人做了手脚啊。
|
225
heimeil 2018-11-26 12:21:12 +08:00
@sobigfish 抓包和#191 一致,一次 Request 两次 Response,应该就是这个 CDN 被人动手脚了,其他 CDN 暂时没发现有这种情况
|
226
applesbananas 2018-11-26 12:21:29 +08:00 via iPhone
杭州电信,成功复现
|
227
lijiawei 2018-11-26 12:24:48 +08:00
Azure 新加坡、美西 复现
|
228
alexZmy 2018-11-26 12:25:02 +08:00
吃个大瓜
|
229
sjt1949 2018-11-26 12:26:36 +08:00
大佬们,这个东西是怎么操作的?-A 是设置 user-agent -H 是设置 header 然后下载“ 182.131.4.1 ”的网页,得到了一个重定向 href “ union-click.jd.com ” 参数为 Wy6RM7,我理解的没错吧。
但是“ 182.131.4.1 ”是一个四川的 ip 吧,访问 jd 的时候怎么会被劫持呢?难道"182.131.4.1"是 jd 西南地区的服务器?只有西南地区访问 jd 才会被劫持?不明白。 |
230
chashao 2018-11-26 12:27:21 +08:00 1
可以,板凳瓜子关注一波
|
231
Ico945 2018-11-26 12:27:49 +08:00 1
后排吃瓜 目测要火 这得赚多少钱了
|
232
zsdroid 2018-11-26 12:31:25 +08:00
这指鹿为马是真的牛逼
|
233
pnongrata 2018-11-26 12:34:36 +08:00 1
|
234
shmon 2018-11-26 12:36:21 +08:00
复现成功
|
237
abux1024 2018-11-26 12:42:49 +08:00
复现成功
|
238
feifan00x 2018-11-26 12:47:03 +08:00 via iPhone
吃瓜
|
239
zsdroid 2018-11-26 13:01:51 +08:00
京东的 CDN 节点就不需要经过运营商了??
你们是怎么排除运营商劫持的?? 运营商劫持分出口和进口。 出口劫持,访问任何网站都会被劫持。 进口劫持,访问这些服务器会被劫持。 这情况明显是运营商进口劫持。 |
240
zbinlin 2018-11-26 13:07:13 +08:00
liuyanjun0826 你应该与楼主联系,找我干嘛
@sjt1949 可能不止一个 IP,这些都可能是的: 182.131.4.1 OK 182.131.4.13 OK 182.131.4.11 OK 182.131.4.15 OK 182.131.4.12 OK 182.131.4.14 OK 182.131.4.16 OK 182.131.4.17 OK 182.131.4.18 OK |
241
pandasoda 2018-11-26 13:07:19 +08:00
坐等吃瓜
|
242
Raymon111111 2018-11-26 13:07:24 +08:00
@liuyanjun0826 啊 楼主造什么谣了 好奇
|
243
ZhLTE 2018-11-26 13:08:56 +08:00
内鬼级 666
|
245
wangfei324017 2018-11-26 13:11:41 +08:00
要火要火,BWG 香港:
|
246
lifeintools 2018-11-26 13:15:39 +08:00
香港节点复现
|
248
langliu 2018-11-26 13:16:55 +08:00
有没有大佬可以通俗易懂地讲解一下,我一个外行没搞清楚是什么情况
|
249
luguhu 2018-11-26 13:17:03 +08:00
mark, 这是怎么发现的?
|
250
xxgirl2 2018-11-26 13:20:30 +08:00
日本 NTT ( vps )复现
|
252
davidqw 2018-11-26 13:26:11 +08:00
战略性 mark
|
253
lanry 2018-11-26 13:26:38 +08:00
吃瓜看戏。。。北京联通可以复现
|
255
Mohanson 2018-11-26 13:32:15 +08:00
mark. 法国复现
|
256
yyuueexxiinngg 2018-11-26 13:33:20 +08:00 via Android
mark,泰国 True 复现
|
259
965380535 2018-11-26 13:45:52 +08:00
湖北联通成功复现
|
260
JCZ2MkKb5S8ZX9pq 2018-11-26 13:46:21 +08:00
上海台湾日本 ip 复现……
|
261
Aruforce 2018-11-26 13:47:44 +08:00 via Android
坐等上新闻
|
262
simple11 2018-11-26 13:49:13 +08:00
看戏
|
263
zhila 2018-11-26 13:53:24 +08:00
mark
|
264
lifeintools 2018-11-26 13:56:05 +08:00
|
265
Nicoco 2018-11-26 13:56:48 +08:00
|
266
araraloren 2018-11-26 13:58:28 +08:00
看戏
|
267
OpenJerry 2018-11-26 13:59:21 +08:00 via Android
围观围观
|
268
xrr2016 2018-11-26 14:01:41 +08:00
!()[ ]
珠海复现 |
269
MicroPan 2018-11-26 14:02:52 +08:00
围观~
|
270
yangzhaofeng 2018-11-26 14:05:09 +08:00 1
182.131.4.0/24 屬於 AS38283, 是電信的 AS。上級走 AS4134,即電信骨幹網。也就是說從外面訪問一定會經過電信骨幹網。
如果有成都阿里雲或者騰訊雲的朋友可以拿這兩家測一下。如果發現沒有劫持,那麼就可以斷定劫持發生在電信骨幹網。如果有劫持,那麼依然無法判斷是京東做的還是電信做的。除非能夠拿到 182.131.4.0/24 的公網地址。但是這個地址段是 IDC 在使用。 |
271
MuscleOf2016 2018-11-26 14:07:37 +08:00
上海可以,持续吃瓜
|
272
zhuoyan 2018-11-26 14:09:49 +08:00
围观
|
273
zjsxwc 2018-11-26 14:10:19 +08:00
浙江联通和移动网络表示不能复现,还没有电信网络。。
|
274
zbinlin 2018-11-26 14:10:22 +08:00
@yangzhaofeng 关键看这个网段是否是 JD 自己使用的,这个其实 JD 内部查起来应该不难的,就怕它查清楚后后不想公开结果罢了。
|
275
kelestudio 2018-11-26 14:11:51 +08:00
北京联通,北京腾讯云,美国 VPS,均未复现
|
276
ryan123 2018-11-26 14:12:11 +08:00
mark
|
277
wobushizhangsan 2018-11-26 14:17:22 +08:00
赶紧把发现问题的人解决掉,问题就没了。
|
278
keysona 2018-11-26 14:21:20 +08:00
13 楼怎么不说话了...
等你回应。 |
279
leido 2018-11-26 14:23:18 +08:00
腾讯云成都服务器测试,直接 302,我随机改了 UA 的,所以应该是运营商劫持
|
280
yangzhaofeng 2018-11-26 14:25:11 +08:00
|
281
sky395 2018-11-26 14:26:28 +08:00
战略性 MARK !
|
282
JiZhiDeboy 2018-11-26 14:28:08 +08:00
前排= =
|
283
Bigglesworth 2018-11-26 14:28:34 +08:00 2
估计 CSDN 的小编又开始写稿了,明天公众号就推送,《京东疑似出现“内鬼级”劫持》。哈哈哈
|
284
jimbray 2018-11-26 14:31:00 +08:00
厉害了,围观学习...
|
286
hippocampi 2018-11-26 14:33:53 +08:00
好像已经复现不了
|
287
fanhaipeng0403 2018-11-26 14:37:27 +08:00
Reply 284
jimbray 6 分钟前 厉害了, |
288
hahastudio 2018-11-26 14:38:09 +08:00
LA 复现不了了,大概是改回去了
|
289
xwander 2018-11-26 14:38:18 +08:00
mark,没搞懂技术原理,学习学习
|
291
leido 2018-11-26 14:42:08 +08:00
@yangzhaofeng
mtr -b -y0 182.131.4.1 -w Start: Mon Nov 26 14:41:13 2018 HOST: VM_1_9_centos Loss% Snt Last Avg Best Wrst StDev 1. AS??? 100.88.215.130 0.0% 10 1.1 1.2 1.0 1.3 0.0 2. AS??? 100.88.247.242 0.0% 10 1.2 0.9 0.7 1.2 0.0 3. AS??? 10.196.70.45 0.0% 10 0.4 1.2 0.4 8.2 2.4 4. AS??? 10.200.5.109 0.0% 10 5.6 2.3 1.8 5.6 1.2 5. AS??? 10.196.0.74 0.0% 10 1.4 1.4 1.3 1.4 0.0 6. AS4134 182.150.16.101 30.0% 10 8.2 33.0 3.1 205.0 75.8 7. AS38283 182.140.229.201 50.0% 10 2.6 2.6 2.5 2.7 0.0 8. AS38283 118.123.223.58 0.0% 10 3.1 3.0 2.7 3.5 0.0 9. AS38283 118.123.223.194 0.0% 10 7.5 7.1 5.0 11.6 1.9 10. AS38283 182.131.4.1 0.0% 10 2.3 2.9 2.2 7.5 1.5 成都腾讯云 mtr 结果 |
293
yangzhaofeng 2018-11-26 14:51:34 +08:00
@leido 這還是經過了骨幹網啊。。。看來這個測試方法還是不太可行
|
294
Mayuri 2018-11-26 14:58:23 +08:00
后排吃瓜
|
295
justicelove 2018-11-26 14:59:10 +08:00
6666666666
|
296
Applenice 2018-11-26 15:01:56 +08:00
吃瓜,Mark 一下
|
297
liangdu 2018-11-26 15:18:39 +08:00 via Android
要变成劫持发财贴了,目测要火,mark
|
298
anjiannian 2018-11-26 15:20:43 +08:00
吃瓜,mark
|
299
zhangalong69 2018-11-26 15:25:23 +08:00
吃个大瓜
|
300
laoganbu 2018-11-26 15:26:28 +08:00
已经修复了?换个地区继续赚钱?
试了下返利好凶,一双孩子都能返几十块 |