给百度联盟:江苏移动宽带劫持百度首页、好 123 首页

2016-03-28 23:57:49 +08:00
 alonga

百度的反垃圾邮件系统太敏感了,根本没法回复百度的邮件,发这里再发链接给百度吧。

哪个帮我把这个帖子链接,发下邮件给百度联盟的邮箱,他们系统太敏感了,我邮箱都发不过去了。

1.江苏移动宽带劫持百度、好 123 所用的联盟账号(后面劫持代码截图中有这些广告联盟账号):

劫持百度的 TN 码如下:

94853979_hao_pg

78040160_24_pg

78040160_25_pg

02049043_18_pg

02049043_22_pg

32053019_9_pg

劫持好 123 的 TN 码如下:

95772190_hao_pg

96738917_hao_pg

98933858_hao_pg

98698880_hao_pg

94247234_hao_pg

96709144_hao_pg

96215825_hao_pg

他们劫持好 123 的代码又换了,现在换成这几个了。

96373655_hao_pg

95772190_hao_pg

95605146_hao_pg

96738917_hao_pg

98698880_hao_pg

2.劫持手段: TCP 劫持,不是古老的 DNS 劫持,运营商现在很少用 DNS 劫持,基本是 TCP 劫持。

在运营商监控网关等设备上,劫持百度首页、好 123 首页访问的 HTTP 数据,是匹配

http://www.baidu.com
http://www.hao123.com

而且是针对 IP 的匹配,跟他们以前有次劫持京东跳转到别的广告联盟是一样的,只针对某个 IP ,目前来看是百度的 IP : 111.13.100.2 (这个 IP 是百度移动线路节点, HTTPS 证书也是百度的) 当域名、 IP 匹配就劫持 HTTP 网页代码,修改网页内容,把代码修改为网址自动加 TN 联盟统计 ID 的地址。

之前被劫持的代码如图 1 、图 2 。

目前百度首页不被劫持了

默认解析的百度 IP 是 111.13.100.91 或者 111.13.100.92 ,我手动指定到 111.13.100.2 现在也没有劫持百度首页了,而且 HTTPS 加密下的百度首页内容也不是正常的,百度的节点在调整,不清楚是江苏移动宽带他还匹配网页内容数据包?或者他们劫持百度搜索的联盟 TN 账号被封停掉了?

好 123 依然被劫持添加代码,如图 3 、图 4 。

详情图片:

图 1 ,劫持百度首页的代码

图 2 ,网址被添加了联盟 TN 代码

图 3 ,劫持好 123 的代码

图 4 ,网址被添加了联盟 TN 代码

3.江苏移动宽带已经不是第一次劫持了

他们劫持电商,那么就找各个电商、联盟封他们账号,他们当时也是采取的注册大量联盟账号,随机显示统计代码,但照封不误。他们劫持 APK ,我找到具体的劫持者,让他停掉,不然网监伺候。还有各种 iPush 悬浮弹窗,通过移动投诉解决。

详情请看我以前发的帖子,已经有很多次抓江苏移动宽带各种劫持,目前除了百度、好 123 被劫持江苏移动宽带劫持,基本没有什么被劫持了: https://www.v2ex.com/member/alonga/topics

4.解决运营商劫持最有效的方法

斩断他们的利益链条,比如封了他们的联盟账号,之前电商劫持,就是如此解决他们的。

或者百度像之前在重庆一样起诉劫持百度的运营商。

另外我还发现其它地方的运营商也有劫持百度的情况,如果有需要可以提供给百度。

7105 次点击
所在节点    宽带症候群
36 条回复
qq651438555
2016-03-29 10:48:09 +08:00
江苏电信也是这么干的,弄个举报流程出来,这样可以方便大家使用。关键是怎么样取证
alonga
2016-03-29 13:10:12 +08:00
@Andy1999 这是什么黑科技?
应该是网站自己降到 HTTP 吧?
跟有些网站首页有 HTTPS 但故意转到 HTTP ,降低安全性,但提高访问性能。
我知道百度云在哈密瓜地区是开启特殊"照顾"的,就是类似这个?国内一些网站当访客 IP 是哈密瓜地区降级到 HTTP ?
不然是无法劫持的啊,如果有这黑科技还要姓方的干嘛?

@qq651438555 Firefox 、 Chrome 、 Wireshark (数据抓包)、 PotPlayer (录像)、 MTR (路由跟踪)、干净的 Win7 系统或者 Linux (如果 Win 系统装的东西多,如: QQ 、 360 等,系统就不可能干净了,可以 U 盘装个 Linux 来取证)
基本就是这些。
Andy1999
2016-03-29 13:16:17 +08:00
@alonga 不是 就是运营商做的
alonga
2016-03-29 13:22:33 +08:00
@Andy1999 那应该是运营商手上有 SSL 证书吧?国内网站上缴的?
不然你所说的就该上全球新闻的头条了。
哪个网站啊?
Andy1999
2016-03-29 13:26:53 +08:00
@alonga 所有网站, SSL 证书不需要啊,是不受信任的
alonga
2016-03-29 13:32:41 +08:00
@Andy1999
哦,哈密瓜地区是这样啊。。。
手法很低级啊,虚假证书,直勾勾的显示错误啊,这搞法太明显了吧。
alonga
2016-03-29 13:41:16 +08:00
@Andy1999 哈密瓜地区那个已经不是运营商了。
是郭家或者匡胤家的家丁做的,运营商真没这能量了。。。
VmuTargh
2016-03-29 14:53:00 +08:00
@alonga
@Andy1999
强制 https 我之前一段时间经常遇到,坐标粤东
怪不得 moecdn 经常挂
owlsec
2016-03-29 18:22:45 +08:00
@alonga 我不记得是江苏移动还是联通出现过,给你 https 强降 http 在页面插广告的了,百度没开 HSTS 啊
owlsec
2016-03-29 18:35:50 +08:00
@alonga 具体原理应该是 SSLStrip 那种。
Andy1999
2016-03-29 22:53:34 +08:00
@alonga 讲道理 真的有,我有 HSTS Preload 但是 80 同时开着,我能收到很多从 80 访问的 HTTP 请求
alonga
2016-03-30 12:00:08 +08:00
@owlsec 说的是哈密瓜区的网络,哈密瓜区有萧蔷,而且有段时间百度云针对哈密瓜区显示资源失效。
哈密瓜区以前有半年的断网,那段时间像高丽国的光明网。
我以为 @Andy1999 说的情况是国内某些网络公司在哈密瓜区搞特殊, HTTPS 降 HTTP 呢。

应该是 SSLStrip 。

@Andy1999 自己的网站开了 HSTS Preload List ?有用户还访问 HTTP ?爬虫吧?或者国内壳子 Chrome 浏览器的不启用 HSTS Preload List ?

应该没大规模的漏洞的,如果能用早发现了,之前出现的多是假证书吧?

我用的 NoScript 强制 HTTPS 。
alonga
2016-03-30 12:08:52 +08:00
@Andy1999 很多人的 Chrome 是不升级版本的,原因都懂。
所以很多版本的 HSTS Preload List 并没有更新。
Andy1999
2016-03-30 13:38:01 +08:00
@alonga 然而就是强降 HTTP 假证书呗
lyd600lty
2016-03-31 03:34:39 +08:00
tn 勾起了我昔日的回忆。。
imiin
2016-04-03 15:13:57 +08:00
@alonga 成都移动 劫持 hao123 的代码 tn=99178339_hao_pg

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/266970

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX