首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
Archeb
V2EX  ›  宽带症候群

CloudFlare IP 再次被 TCP 劫持

  •  2
     
  •   Archeb · 167 天前 · 8321 次点击
    这是一个创建于 167 天前的主题,其中的信息可能已经有所发展或是发生改变。
    受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站

    症状同两个月前的
    https://www.v2ex.com/t/572057
    https://www.v2ex.com/t/572031
    第 1 条附言  ·  159 天前
    广州联通、南京联通、山东联通已恢复

    根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
    62 回复  |  直到 2019-08-22 16:34:57 +08:00
    dot2017
        1
    dot2017   167 天前
    哦吼 这就很*了,骨干网的内鬼么
    yexm0
        2
    yexm0   167 天前
    TCP: i.v2ex.co/6Ly78uDG.jpeg
    ICMP: i.v2ex.co/p8WfYBwY.png
    广东电信这是缺钱花了?
    yexm0
        3
    yexm0   167 天前
    @yexm0 fix:去掉广东
    CernetBoom
        4
    CernetBoom   167 天前 via Android
    @yexm0 不止电信,联通移动 连科技网都是这样
    well666
        5
    well666   167 天前 via iPhone
    mytsing520
        6
    mytsing520   167 天前
    上午 10 点,杭州电信测试已经恢复。
    Peanut666
        7
    Peanut666   167 天前
    四川电信,劫持依然存在
    mytsing520
        8
    mytsing520   167 天前
    上午 10 点 05,杭州电信测试恢复劫持。
    lp10
        9
    lp10   167 天前
    2019-08-04 10:45 UTC+8
    同 IP 无代理,mac Safari 访问正常,新 Edge 跳转菠菜

    哈???
    Windelight
        10
    Windelight   167 天前 via Android   ♥ 3
    10 点 12 分,河北联通、河北移动仍未恢复

    另外有趣的是河北联通跳转到一个 0031001569 点 res 点 websd8 点 com 的网站,河北移动跳转到 40010009 点 echatu 点 com 的网站

    前者安装包叫 com.game.ddz-v1.0.0.5.apk ,后者叫 cf0728_channel_9.apk

    前者下载地址是
    app-eslz3u 点 openinstall 点 io/install/c/eyJkIjp7InNwcmVhZGVyIjoiMDAzMTAwMTU2OSJ9LCJtIjoiZnFJcGZ4ZDNpajRBQUFGc1dtVDBLUnNVTnVLWXU2VTRuNlNVcUlhVm1WVkVYUFAxRlNUc1h4S1dlUEE4X0NIelFmSSJ9
    后边的地址是 apk 点 wanlongcaifu 点 com/v60/cf0728_channel_9 点 apk
    经过查看,后者下载地址竟然还特么带 https??

    沃特玛现骗子还这么高级??
    经过百度和必应查询,之前本以为就是附近的固安万隆财富广场,结果一查不是,百度和必应复合结果如下
    1.某些 seo 查询网站留下的一堆无意义历史记录
    包括 70dir 点 com,chinaz 点 com,都是搜索引擎对这些网站的历史记录所留下的缓存
    2.在 21CN 门户聚投诉下面一个 id 为 CN1012987 的投诉,大致意思是有人被微信上的推销读博 app,然后被骗钱,重点来了,那个 app 叫超飞娱乐,地址是 40011126 点 wanlongcaifu 点 com,后者页面完全一致!!!
    3.还有一个更大的包,就是在必应上查到了某不知名的网址导航提供了公司名 地址是 zibo 点 26595 点 com/daohang/967086.html 那个公司叫做 淄博晖博投资有限公司

    好了,收集到了以上信息,当然那个网址导航的信息真实性可疑,但是也要从别的地方入手了

    首先我赶快下载了一个 Chrome Mobile,把原网址换成 40011126 那个,然后加上 https,好了 get 到了 https 证书,非常遗憾这特么用的是 Let's Encrypt,假设他们要是能用 EV SSL 的话那我不就........
    当然这个不存在了,下面就只能信一下那个网址导航了。
    下面打开天眼查,输入该公司名称,真的查到了,法代叫做 于修强,该公司真的有一个备案叫做 淄博晖博投资有限公司万隆财富 的网站,地址同,备案号是 鲁 ICP 备 16020641 号,经工信部网站验证确定该备案主体-1 的备案号就是这个网站,然后直接打开就是最开始后者的页面
    这个公司是 2015 年 11 月 12 日成立,备案是 2016 年 6 月 6 日


    未完待续.............

    (上述域名请自动补齐 http/https 协议头和点)
    dahounet
        11
    dahounet   167 天前 via Android
    有人在骨干网(或者是某墙)上面搞劫持?
    jousca
        12
    jousca   167 天前
    四川移动刚才测试也是劫持依然存在
    scnace
        13
    scnace   167 天前 via Android
    浙江电信没挂代理跳转到 https://40010009.echatu.com/
    lzp7
        14
    lzp7   167 天前 via Android
    山东移动稳定复现
    lzp7
        15
    lzp7   167 天前 via Android
    劫持地址和上面几楼不太一样
    http://0031001569.gzxnlk.com/
    jousca
        16
    jousca   167 天前   ♥ 1
    @dahounet 灰色产业,在过滤设备上劫持某些非国内网站跳自己黑产上。内外勾结或者职务之便。知道对方和客户都无法投诉举证。
    jousca
        17
    jousca   167 天前
    @lzp7 用 HTTPS 就到你这个,不用 HTTPS 就到 4001 开头那个。HTTPS 的时候浏览器会提示证书不可信
    derekwei
        18
    derekwei   167 天前
    投诉给电信就给我我回了句“我们工程师没有检查到类似问题”,还要我提供访问网站的网址。
    loukky
        19
    loukky   166 天前
    BlitheHusky
        20
    BlitheHusky   166 天前 via Android
    江苏电信稳定复现。
    一开始拿手机发现正常,再看看是走了代理。😂😂😂
    ZRS
        21
    ZRS   166 天前
    稳定复现
    ochatokori
        22
    ochatokori   166 天前 via Android
    广州移动 4g 复现
    jousca
        23
    jousca   166 天前
    感觉这个方式就是典型的 BGP 劫持
    CernetBoom
        24
    CernetBoom   166 天前 via Android
    @jousca 哈? BGP Hijack 你 ICMP 还能通?
    jousca
        25
    jousca   166 天前
    jousca
        26
    jousca   166 天前
    @CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由??
    CernetBoom
        27
    CernetBoom   166 天前 via Android
    @jousca 那你还说什么 BGP Hijack ? ICMP 和 TCP 的路由都不一样,ICMP 的路由是正常的好吗?

    所以 AS_PATH 呢?结果呢?
    jousca
        28
    jousca   166 天前
    @CernetBoom 观察到了。TCP 异常,而且出问题的地方都在关键出口,看来我在 16 楼推测是对的,就是利用 GFW 设备的灰产。ICMP 反而正常。
    jousca
        29
    jousca   166 天前
    确认了一遍。墙外正常,包括 HK 都正常,出问题都在墙内。
    jousca
        30
    jousca   166 天前
    loukky
        31
    loukky   166 天前
    bibiisme
        32
    bibiisme   166 天前
    教育网下午还有劫持,刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳,这个劫持的手也伸得太长了
    https://s2.ax1x.com/2019/08/04/ecpyqA.png
    https://s2.ax1x.com/2019/08/04/ecpcVI.png
    Liqianyu
        33
    Liqianyu   166 天前 via iPad
    北京联通、北京移动、上海阿里云、杭州阿里云复现。
    Liqianyu
        34
    Liqianyu   166 天前 via iPad
    跟上一条
    通过 IPIP 可以判断大陆整体都有劫持。
    发链接会触发 V2EX 验证手机号要求。
    yexm0
        35
    yexm0   166 天前
    @Liqianyu 去掉前面的 http 或者 https 就行
    smileawei
        36
    smileawei   165 天前
    查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的
    smileawei
        37
    smileawei   165 天前
    这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。
    smileawei
        38
    smileawei   165 天前
    更正 37 楼的信息。
    该域名来自于 [email protected] 注册 。
    地址为:广州市白云区均禾街均禾大道 67 号
    Kowloon
        39
    Kowloon   165 天前 via iPhone
    天津联通:复现。
    香港宽频:正常。
    Peanut666
        40
    Peanut666   165 天前
    这么高级权限的劫持,该往哪个部门投诉?
    tinyzhang
        41
    tinyzhang   165 天前
    @jousca
    @lzp7
    @Archeb
    @hlz0812

    请问大佬们, 这种劫持只对 http 有效吧
    https 的都会提示证书错误吧? 这次也劫持 https 了么
    Caussti
        42
    Caussti   165 天前
    广州电信:复现
    香港联通:正常
    EdifierDrew
        43
    EdifierDrew   164 天前 via iPhone
    中国移动 4G 网 ping ip:104.28.28.149
    ping 通线路走香港,延迟 84ms
    直接在浏览器打开 IP 就跳到了网站: http://0031001569.gzxnlk.com/
    txydhr
        44
    txydhr   164 天前
    给纪....检写举报...信?
    WGzeyu
        45
    WGzeyu   159 天前
    @Windelight 现在是 2019 年 8 月 11 日 16:38:23,河北电信、河北联通仍未恢复
    Windelight
        46
    Windelight   159 天前 via Android
    我好像已经不能评论了
    Windelight
        47
    Windelight   159 天前 via Android
    @WGzeyu 那天我发帖的时候还有一个注册天数问题,看来现在取消了

    河北联通 Bandboard 和河北移动 4G 仍未恢复
    Windelight
        48
    Windelight   159 天前 via Android
    不过既然坑都留下了,能不填吗?
    我把那天编辑好的就发出来吧

    我又打开 Taob 无线端上的旺旺,找到 2 个月前花 5kuai9 买的 1 年 VIP 的天眼查 gongxiang 帐号,登录上去之后查到其公司邮箱为 zbhbtz 爱特 163 点 com,电话为 188 伍叁叁贰贰妖妖舞,剩下信息大家可以自己去公示网或者其它商业工具网站查,反正我不信他们可以实缴注册资本 500 万。
    接着挖,这个人名下还有别的公司,叫做 桓台县城区全顺通讯器材销售部 ,类型为个体工商户。这个 ziben3 万我感觉这倒有可能实缴了。这次电话变了,是 189 伍叁叁陆叁妖妖灵,至于经营范围什么的大家可以自己查。
    邮箱查询无果。
    手机号查询结果: 百姓网本地招收银员,天眼查、企 cha 查、启 xin 宝、顺企网、各种公司黄页网等等等等的介绍

    经过 SNS 查询,此人 koukou 号未知但上面写的是男 37 岁???? micro message 上写的是山东淄博男,就确定是你了!皮卡丘!不过好像没什么有用的信息。
    同样的还有 alipay,这次获取到了这个 old 男人 ei wei 画质的照片,经校验是于某某,照片啥样大家自己 alipay 搜,还是处女座。
    Windelight
        49
    Windelight   159 天前 via Android
    目前更新一下,
    河北联通宽带和 4G 跳转为
    http 爱思://40010009 点 echatu 点 com
    移动 4G 跳转到
    http 艾斯://www 点 tt3sm4 点 cn 斜杠?signature=RUhTN3pKNHM0&num=1061
    不明白后边的 sig 是什么意思

    这个新的下载链接可特么长了
    htt 劈://111 点 47 点 203 点 233 斜杠 apk/lxxfgj/c/eyJkIjp7InNpZ25hdHVyZSI6IlJVaFROM3BLTkhNMCIsIm51bSI6IjEwNjAifSwibSI6IkJEQlB6eU1ub1V3QUFBRnNnSDE5bjlLeC1WRmdVVUlEOGxkSkRaZHlMNjJLby1TbzJoWmlINFMtWTVjQnJaNUtZVmxQYWRjYjQ4MkV4Si1WV2o2blpOTW1KNTNhaHY5cm9oVTBMNUU2M0VHU2NwVkdWbkpFQ0xJRFBRc3QzeGtBWU5HX1VUTXh5SC1LWFROcUNOTVh6SGVOWjNocVY1Z3EtRlIwRlpaaFJ6a0dRVGpzdHBOczYtYlV1RzFHaDRxcGZ4azlsSGI1Q1ViZXNOQ0xDek13UUpVaFl3SmFPMm5MNGNWb1JpUDc2bGMifQ 斜杠 com 点 menghuan 点 mhyl-v1.6.0 点 apk

    前边的 wanlongcaifu 没有变化

    另外 openinstall.io 这个网站不知道大家有没有人想投诉一下?
    jousca
        50
    jousca   159 天前
    @tinyzhang 基于 TCP+IP 的劫持。证书都给你伪造好了的。
    Fangshing87
        51
    Fangshing87   159 天前 via Android
    40010009 点 echatu 点 com
    辽宁沈阳联通已被劫持
    Silently
        52
    Silently   159 天前 via iPhone
    广东联通 菠菜网
    墙外梦幻娱乐
    Archeb
        53
    Archeb   159 天前
    @Silently

    广东广州联通 已恢复正常 Direct IP access not allowed、

    确认一下?
    Silently
        54
    Silently   159 天前 via iPhone
    @Archeb 依旧梦幻娱乐 网址 http 艾思 www 点 tt3sm4 点 cn
    diguoemo
        55
    diguoemo   158 天前 via Android
    四川联通 lte 还是被劫持
    laozhoubuluo
        56
    laozhoubuluo   157 天前
    北京联通 宽带 TCP 仍然劫持
    劫持前上一跳:219.158.15.38/AS4837/广州联通

    北京移动 宽带 TCP 仍然劫持
    劫持前上三跳(后两跳禁 Ping,没办法):211.136.67.45/AS56048/北京移动
    mnihyc
        57
    mnihyc   157 天前
    这太可怕了吧,刚刚测了一下确实 TCP 在出口倒二跳被劫持了

    @jousca 根据这里面截图的内容找到一个 CMS,http://smc.5vl58stm.com/smc1/www/,搜到是这个东西 http://211.151.32.20/ ,貌似是自主研发的,但是这里面不存在 getOneDomain.php ,所以目测上面那个是被挖到洞然后黑掉了。
    刚才大概看了一下似乎没有留下什么痕迹,毕竟没有源代码。
    jousca
        58
    jousca   156 天前
    @mnihyc 那个文件在,注意大小写。http://smc.5vl58stm.com/smc1/www/getOneDomain.php
    mnihyc
        59
    mnihyc   154 天前
    @jousca 我的意思是在 http://smc.5vl58stm.com/smc1/www 里找到的这个文件,但是使用同样 CMS 的看上去像官网 http://211.151.32.20/ ( http://www.515game.com ) 没有,再加上这两个网站都有一定概率在源代码的 head 标签后刷出加载 http://t.7gg.cc:88/j.js?MAC=747D245541A2 的 script 标签,说明是有很大可能是被黑了(个人推测)。
    Xusually
        60
    Xusually   151 天前
    北京电信稳定复现
    chenyx9
        61
    chenyx9   150 天前
    东莞联通,依然被劫持。
    dyy1997
        62
    dyy1997   148 天前
    成都电信,跳转到 https:##www.jwhy520.com/3/200001/
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2647 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 31ms · UTC 08:34 · PVG 16:34 · LAX 00:34 · JFK 03:34
    ♥ Do have faith in what you're doing.