CloudFlare IP 再次被 TCP 劫持

2019-08-03 23:50:21 +08:00
 Archeb
受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站

症状同两个月前的
https://www.v2ex.com/t/572057
https://www.v2ex.com/t/572031
11780 次点击
所在节点    宽带症候群
65 条回复
tinyzhang
2019-08-06 14:17:43 +08:00
@jousca
@lzp7
@Archeb
@hlz0812

请问大佬们, 这种劫持只对 http 有效吧
https 的都会提示证书错误吧? 这次也劫持 https 了么
Caussti
2019-08-06 15:08:46 +08:00
广州电信:复现
香港联通:正常
EdifierDrew
2019-08-06 22:07:29 +08:00
中国移动 4G 网 ping ip:104.28.28.149
ping 通线路走香港,延迟 84ms
直接在浏览器打开 IP 就跳到了网站: http://0031001569.gzxnlk.com/
txydhr
2019-08-07 10:17:00 +08:00
给纪....检写举报...信?
WGzeyu
2019-08-11 16:39:09 +08:00
@Windelight 现在是 2019 年 8 月 11 日 16:38:23,河北电信、河北联通仍未恢复
Windelight
2019-08-11 19:28:57 +08:00
我好像已经不能评论了
Windelight
2019-08-11 19:31:12 +08:00
@WGzeyu 那天我发帖的时候还有一个注册天数问题,看来现在取消了

河北联通 Bandboard 和河北移动 4G 仍未恢复
Windelight
2019-08-11 19:38:18 +08:00
不过既然坑都留下了,能不填吗?
我把那天编辑好的就发出来吧

我又打开 Taob 无线端上的旺旺,找到 2 个月前花 5kuai9 买的 1 年 VIP 的天眼查 gongxiang 帐号,登录上去之后查到其公司邮箱为 zbhbtz 爱特 163 点 com,电话为 188 伍叁叁贰贰妖妖舞,剩下信息大家可以自己去公示网或者其它商业工具网站查,反正我不信他们可以实缴注册资本 500 万。
接着挖,这个人名下还有别的公司,叫做 桓台县城区全顺通讯器材销售部 ,类型为个体工商户。这个 ziben3 万我感觉这倒有可能实缴了。这次电话变了,是 189 伍叁叁陆叁妖妖灵,至于经营范围什么的大家可以自己查。
邮箱查询无果。
手机号查询结果: 百姓网本地招收银员,天眼查、企 cha 查、启 xin 宝、顺企网、各种公司黄页网等等等等的介绍

经过 SNS 查询,此人 koukou 号未知但上面写的是男 37 岁???? micro message 上写的是山东淄博男,就确定是你了!皮卡丘!不过好像没什么有用的信息。
同样的还有 alipay,这次获取到了这个 old 男人 ei wei 画质的照片,经校验是于某某,照片啥样大家自己 alipay 搜,还是处女座。
Windelight
2019-08-11 19:47:06 +08:00
目前更新一下,
河北联通宽带和 4G 跳转为
http 爱思://40010009 点 echatu 点 com
移动 4G 跳转到
http 艾斯://www 点 tt3sm4 点 cn 斜杠?signature=RUhTN3pKNHM0&num=1061
不明白后边的 sig 是什么意思

这个新的下载链接可特么长了
htt 劈://111 点 47 点 203 点 233 斜杠 apk/lxxfgj/c/eyJkIjp7InNpZ25hdHVyZSI6IlJVaFROM3BLTkhNMCIsIm51bSI6IjEwNjAifSwibSI6IkJEQlB6eU1ub1V3QUFBRnNnSDE5bjlLeC1WRmdVVUlEOGxkSkRaZHlMNjJLby1TbzJoWmlINFMtWTVjQnJaNUtZVmxQYWRjYjQ4MkV4Si1WV2o2blpOTW1KNTNhaHY5cm9oVTBMNUU2M0VHU2NwVkdWbkpFQ0xJRFBRc3QzeGtBWU5HX1VUTXh5SC1LWFROcUNOTVh6SGVOWjNocVY1Z3EtRlIwRlpaaFJ6a0dRVGpzdHBOczYtYlV1RzFHaDRxcGZ4azlsSGI1Q1ViZXNOQ0xDek13UUpVaFl3SmFPMm5MNGNWb1JpUDc2bGMifQ 斜杠 com 点 menghuan 点 mhyl-v1.6.0 点 apk

前边的 wanlongcaifu 没有变化

另外 openinstall.io 这个网站不知道大家有没有人想投诉一下?
jousca
2019-08-11 23:09:14 +08:00
@tinyzhang 基于 TCP+IP 的劫持。证书都给你伪造好了的。
Fangshing87
2019-08-12 03:38:48 +08:00
40010009 点 echatu 点 com
辽宁沈阳联通已被劫持
Silently
2019-08-12 10:43:21 +08:00
广东联通 菠菜网
墙外梦幻娱乐
Archeb
2019-08-12 12:40:54 +08:00
@Silently

广东广州联通 已恢复正常 Direct IP access not allowed、

确认一下?
Silently
2019-08-12 15:16:57 +08:00
@Archeb 依旧梦幻娱乐 网址 http 艾思 www 点 tt3sm4 点 cn
diguoemo
2019-08-13 12:49:12 +08:00
四川联通 lte 还是被劫持
laozhoubuluo
2019-08-13 22:33:19 +08:00
北京联通 宽带 TCP 仍然劫持
劫持前上一跳:219.158.15.38/AS4837/广州联通

北京移动 宽带 TCP 仍然劫持
劫持前上三跳(后两跳禁 Ping,没办法):211.136.67.45/AS56048/北京移动
mnihyc
2019-08-14 05:03:10 +08:00
这太可怕了吧,刚刚测了一下确实 TCP 在出口倒二跳被劫持了

@jousca 根据这里面截图的内容找到一个 CMS,http://smc.5vl58stm.com/smc1/www/,搜到是这个东西 http://211.151.32.20/ ,貌似是自主研发的,但是这里面不存在 getOneDomain.php ,所以目测上面那个是被挖到洞然后黑掉了。
刚才大概看了一下似乎没有留下什么痕迹,毕竟没有源代码。
jousca
2019-08-14 20:22:25 +08:00
@mnihyc 那个文件在,注意大小写。http://smc.5vl58stm.com/smc1/www/getOneDomain.php
mnihyc
2019-08-17 11:45:08 +08:00
@jousca 我的意思是在 http://smc.5vl58stm.com/smc1/www 里找到的这个文件,但是使用同样 CMS 的看上去像官网 http://211.151.32.20/ ( http://www.515game.com ) 没有,再加上这两个网站都有一定概率在源代码的 head 标签后刷出加载 http://t.7gg.cc:88/j.js?MAC=747D245541A2 的 script 标签,说明是有很大可能是被黑了(个人推测)。
Xusually
2019-08-20 12:38:19 +08:00
北京电信稳定复现

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/588848

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX