有没有人发现七牛云储存可能被劫持了

2016-04-20 09:22:42 +08:00

yu1u

昨天偶然发现网站前台页面有一个叉悬浮的，还以为是网站的模板的问题，代码审查发现一个框架代码，我立即查看网站是否被纂改，后来排除了网站的问题，又随即检查了本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持，再测试使用 https 访问网站前台，发现这个悬浮的叉还是存在，最后在排查网站 css 和 js 文件的时候，最终发现了。放在七牛上的一个 js 出了问题，访问发现被植入了广告代码，登录七牛云储存管理平台，查看了修改时间，没有异常，下载了 js 文件到本地查看，发现也没有异常。但用七牛分配的二级域名访问 js 以及 https 访问查看都被劫持，最后怀疑七牛是否被劫持了

3628 次点击

所在节点

分享发现

28 条回复

demoxu

2016-04-20 09:25:59 +08:00

这个是运营商干的事情吧，最近很火

yu1u

2016-04-20 09:26:38 +08:00

为什么只看到一个悬浮的叉，后来发现广告页面被本地的软件拦截了。

yu1u

2016-04-20 09:28:26 +08:00

@demoxu 七牛可能在某个 cdn 服务商被劫持了。

demoxu

2016-04-20 09:28:50 +08:00

@yu1u 换个好点的广告拦截插件试试历来广告和反广告一直在斗

yu1u

2016-04-20 09:30:47 +08:00

@demoxu 归根结底要解决劫持的问题

aaaron7

2016-04-20 09:37:24 +08:00

七牛经常搞这种事情

zangbob

2016-04-20 09:42:17 +08:00

此处要问一句：为毛不用又拍云。。。。

BOYPT

2016-04-20 09:54:23 +08:00

https 都劫持，那是七牛的回源 ISP 问题了。。。

ty0716

2016-04-20 10:38:32 +08:00

加个 SRI hash 吧

https://www.srihash.org/

yeyeye

2016-04-20 11:01:42 +08:00

解决不了七牛要加速网站就必须像普通用户那样访问抓取资源但是抓取过程中如果被运营商劫持根本就没办法解决除非放弃这次请求（如果有做 hash 标记可以分辨出被劫持了）

或者原网站只允许 HTTPS 方式访问

明白？

yu1u

2016-04-20 11:04:54 +08:00

@ty0716 这个是什么梗

yu1u

2016-04-20 11:05:56 +08:00

@yeyeye 已经把 js 放到本地服务器了防不胜防

asddsa

2016-04-20 11:12:53 +08:00

为什么说“本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持”？

niuer

2016-04-20 11:33:55 +08:00

@yu1u 能不能给个联系方式，让我们技术支持看下这个问题~

rwifeng

2016-04-20 12:13:59 +08:00

@yu1u 这个应该是运营商的劫持，这边可否给下你的劫持外链，我们推送下，然后排查下具体的愿意。

zachgenius

2016-04-20 12:38:18 +08:00

用他们的图床我们都出现好几次图片不显示，强制刷新几次才出来。。。给他们反映过几次，都是说给刷新一下 CDN ，全国各地用户都出现图片偶尔刷不出来。。。

sakeven

2016-04-20 12:50:27 +08:00

我们这也有用户反映这个问题。

czb

2016-04-20 12:53:02 +08:00

我们在海外访问也是被国内的缓存了

VmuTargh

2016-04-20 13:22:47 +08:00

@yu1u 跨站资源 hash 不过不给加载，就这个意思

kawaiiushio

2016-04-20 13:26:56 +08:00

@zangbob 为毛要用又拍云？

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/272434

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.