有没有人发现七牛云储存可能被劫持了

2016-04-20 09:22:42 +08:00
 yu1u
昨天偶然发现网站前台页面有一个叉 悬浮的,还以为是网站的模板的问题,代码审查发现一个框架代码,我立即查看网站是否被纂改,后来排除了网站的问题,又随即检查了本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持,再测试使用 https 访问网站前台,发现这个悬浮的叉还是存在,最后在排查网站 css 和 js 文件的时候,最终发现了。 放在七牛上的一个 js 出了问题,访问发现被植入了广告代码,登录七牛云储存管理平台,查看了修改时间,没有异常,下载了 js 文件到本地查看,发现也没有异常。但用七牛分配的二级域名访问 js 以及 https 访问查看都被劫持,最后怀疑七牛是否被劫持了
3642 次点击
所在节点    分享发现
28 条回复
ewex
2016-04-20 13:43:46 +08:00
墙裂推荐又拍云,自建 CDN 比骑牛二道贩子好多了。

七牛绑定域名一周都没配置好,又拍 3 分钟就好了;七牛 HTTPS 费用相比又拍高很多。

虽然我也在用七牛(也仅限存储,存储也是备份,不会回源),没有黑七牛的意思,他的存储做的还是相当不错的。
yu1u
2016-04-20 13:56:14 +08:00
@rwifeng
@niuer
https://dn-yulu.qbox.me/all.js
yu1u
2016-04-20 13:58:07 +08:00
@asddsa 这个还用说么 给你个眼神 自己体会
asddsa
2016-04-20 14:36:16 +08:00
@yu1u 谁告诉你自定义 DNS 了就不会被运营商劫持?
yu1u
2016-04-20 16:47:00 +08:00
@asddsa 我可没有这样说哦
asddsa
2016-04-20 22:05:08 +08:00
@yu1u 又随即检查了本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持


对,这句话是我说的,我眼瞎了不好意思。
nocwat
2016-05-26 22:08:16 +08:00
@niuer 今天也发现有这个问题, https CDN 资源同样会被劫持,页面上有一个悬浮的叉,
将 user agent 切换成 Android Chrome 然后刷新时更容易出现,
页面被内嵌一个 iframe ,地址是: http://dbcpm.com/locate_1/jiwei_MBpt.html
这样还会导致本来完好的 https 页面出现 mixed content 错误
yu1u
2016-05-27 21:46:10 +08:00
@nocwat 关键的东西还是放到本地安全点 太恶心了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/272434

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX