观察到一个劫持，导致网站功能无法使用，但目前不知道他要干嘛，

因为目前他只是劫持插入空白代码，没有放广告，也没有放马。

（无安全措施请勿访问） http://8.525cm.com/v2/v.php?id=105 （无安全措施请勿访问）

从来没发现过这种单一大规模的劫持，除了被黑，很少有人能控制这么多省运营商。

不排除运营商，但我看阿里云都被劫持了就觉得蹊跷。

劫持后的代码：

正常代码：

问题网宿 CDN 节点：（他是随机劫持，有些可能漏网）

安徽合肥移动浙江温州移动山东移动北京移动

福建福州电信

河北廊坊联通山西晋城联通山西晋中联通北京联通

被劫持的用户端线路：（他是随机劫持，有些可能漏网）

福建移动重庆移动海南移动陕西移动上海移动江苏移动广西移动河南移动四川移动江西移动内蒙古移动山东移动

河北联通天津联通山西联通山东联通北京联通辽宁联通内蒙古联通

广西电信

武汉教育网

最关键的是阿里云北京线路居然被劫持！这个除了 CDN 问题，或北京联通给阿里云的线路不干净，不然没法解释了。

这个数据跟我以前统计的一些很类似，比如这次发现的广西电信是电信劫持最严重的一个省份，联通那几个省份平时也属于最不干净的。不排除一个人控制了这些省份运营商的设备，比如北京移动、江苏移动就是一个家伙在搞。再次说明他是高几率随机劫持，十有七八。这个只有漏网，没有多的。

alonga

2016-04-18 18:02:45 +08:00

@yexm0 是啊，这么多运营商都被搞，很难觉得是谁能控制这么多运营商，数据抓包也不像运营商做的，当然数据包可以伪造。
HTTPS 下是没问题的，说明服务器没问题。
目前在网上找到关于 525cm 劫持都是跟网宿有关，有七牛，但是七牛用的就是网宿。

感觉是网宿附近的某个地方被某些人控制了，跟豆瓣被搞很像，但豆瓣那次是有人控制一个电信通机房线路而已。网宿的线路很多啊。

pine

2016-04-19 09:38:38 +08:00

我觉得这个是是本地运营商的问题，原因是不管什么线路，到你用的电脑只有一个线路，而网站是各大网站都有，如果是是网站或者是网宿问题，早就闹开了，但是本地运营商劫持你就呵呵了，大不了给你一个人开个免劫持。
我遇到过，移动的，新浪搜狐网易都有一样的代码，而代码用 js 嵌套的很深，目的只有一个，卖流量，看似有几十万人访问的网站呵呵

网宿作死还是被黑？