V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alonga
V2EX  ›  宽带症候群

给百度联盟:江苏移动宽带劫持百度首页、好 123 首页

  •  
  •   alonga · 2016-03-28 23:57:49 +08:00 · 7315 次点击
    这是一个创建于 3195 天前的主题,其中的信息可能已经有所发展或是发生改变。

    百度的反垃圾邮件系统太敏感了,根本没法回复百度的邮件,发这里再发链接给百度吧。

    哪个帮我把这个帖子链接,发下邮件给百度联盟的邮箱,他们系统太敏感了,我邮箱都发不过去了。

    1.江苏移动宽带劫持百度、好 123 所用的联盟账号(后面劫持代码截图中有这些广告联盟账号):

    劫持百度的 TN 码如下:

    94853979_hao_pg

    78040160_24_pg

    78040160_25_pg

    02049043_18_pg

    02049043_22_pg

    32053019_9_pg

    劫持好 123 的 TN 码如下:

    95772190_hao_pg

    96738917_hao_pg

    98933858_hao_pg

    98698880_hao_pg

    94247234_hao_pg

    96709144_hao_pg

    96215825_hao_pg

    他们劫持好 123 的代码又换了,现在换成这几个了。

    96373655_hao_pg

    95772190_hao_pg

    95605146_hao_pg

    96738917_hao_pg

    98698880_hao_pg

    2.劫持手段: TCP 劫持,不是古老的 DNS 劫持,运营商现在很少用 DNS 劫持,基本是 TCP 劫持。

    在运营商监控网关等设备上,劫持百度首页、好 123 首页访问的 HTTP 数据,是匹配

    http://www.baidu.com
    http://www.hao123.com

    而且是针对 IP 的匹配,跟他们以前有次劫持京东跳转到别的广告联盟是一样的,只针对某个 IP ,目前来看是百度的 IP : 111.13.100.2 (这个 IP 是百度移动线路节点, HTTPS 证书也是百度的) 当域名、 IP 匹配就劫持 HTTP 网页代码,修改网页内容,把代码修改为网址自动加 TN 联盟统计 ID 的地址。

    之前被劫持的代码如图 1 、图 2 。

    目前百度首页不被劫持了

    默认解析的百度 IP 是 111.13.100.91 或者 111.13.100.92 ,我手动指定到 111.13.100.2 现在也没有劫持百度首页了,而且 HTTPS 加密下的百度首页内容也不是正常的,百度的节点在调整,不清楚是江苏移动宽带他还匹配网页内容数据包?或者他们劫持百度搜索的联盟 TN 账号被封停掉了?

    好 123 依然被劫持添加代码,如图 3 、图 4 。

    详情图片:

    图 1 ,劫持百度首页的代码

    图 2 ,网址被添加了联盟 TN 代码

    图 3 ,劫持好 123 的代码

    图 4 ,网址被添加了联盟 TN 代码

    3.江苏移动宽带已经不是第一次劫持了

    他们劫持电商,那么就找各个电商、联盟封他们账号,他们当时也是采取的注册大量联盟账号,随机显示统计代码,但照封不误。他们劫持 APK ,我找到具体的劫持者,让他停掉,不然网监伺候。还有各种 iPush 悬浮弹窗,通过移动投诉解决。

    详情请看我以前发的帖子,已经有很多次抓江苏移动宽带各种劫持,目前除了百度、好 123 被劫持江苏移动宽带劫持,基本没有什么被劫持了: https://www.v2ex.com/member/alonga/topics

    4.解决运营商劫持最有效的方法

    斩断他们的利益链条,比如封了他们的联盟账号,之前电商劫持,就是如此解决他们的。

    或者百度像之前在重庆一样起诉劫持百度的运营商。

    另外我还发现其它地方的运营商也有劫持百度的情况,如果有需要可以提供给百度。

    第 1 条附言  ·  2016-03-29 08:06:40 +08:00

    只是因为百度换IP或者节点数据包变化才停止劫持。

    新的IP:111.13.100.91和111.13.100.92现在也被劫持。

    图5,百度被劫持网址被加TN参数

    图6,百度被劫代码

    第 2 条附言  ·  2016-03-29 17:24:40 +08:00

    好123手机版劫持

    忘记手机版也被劫持了,@owlsec 发现的

    图7.好123手机版被劫持代码

    图8.好123手机版被劫持添加TN参数:ops1014382e

    36 条回复    2016-04-03 15:13:57 +08:00
    Peanut666
        1
    Peanut666  
       2016-03-29 00:05:58 +08:00
    四川移动也劫持,帮顶
    alonga
        2
    alonga  
    OP
       2016-03-29 00:07:32 +08:00
    @Peanut666 把四川移动劫持的截图还有 TN 代码发出来,等封他们账号吧,他们这是诈骗。
    Andy1999
        3
    Andy1999  
       2016-03-29 00:11:52 +08:00 via iPhone
    应该是百度没用 HSTS 吧 所以在 http 层被劫持了

    我还见过 https 强降 http 的… 打电话投诉说国家允许的
    alonga
        4
    alonga  
    OP
       2016-03-29 00:17:34 +08:00
    @Andy1999 HTTPS 强降 HTTP 应该是网页包含 HTTP 代码吧,代码被劫持了吧。
    斩断他的利益链条,毕竟他搞这个是为了赚黑钱。
    运营商的人劫持国内网站赚黑钱都判了那么多个了,国家哪里允许运营商为了不法利益劫持国内商业网站?
    Andy1999
        5
    Andy1999  
       2016-03-29 00:20:04 +08:00 via iPhone
    @alonga 不是,伪造 TCP 包,服务器 IP 正确,第一个包伪造( 302 到 http )第二个包废弃(正确的 200 )
    毕竟地区特殊,开个 ss 都能被查水表
    alonga
        6
    alonga  
    OP
       2016-03-29 00:25:37 +08:00
    @Andy1999 没这么神奇吧?证书列表没问题?目前 HTTPS 还没有太多公开漏洞大规模应用吧,即使偶尔有些漏洞,但用出来就会被修复啊。
    正常情况下我的浏览器都是强制 HTTPS ,不需要 HSTS 。
    Peanut666
        7
    Peanut666  
       2016-03-29 00:35:52 +08:00
    @Peanut666 周末回家我看看,没在家抓不到包
    Totoria
        8
    Totoria  
       2016-03-29 01:11:56 +08:00
    移动一直都很劫持
    stabc
        9
    stabc  
       2016-03-29 06:06:18 +08:00
    LZ 是好人,但我觉得这问题只有从根上解决,而如果你想从根上解决就有人参危险了。我几年前也努力过,给京东联盟写过邮件,还跟工信部的人吵过架,但是无济于事。
    chaegumi
        10
    chaegumi  
       2016-03-29 07:55:25 +08:00
    tn=98290028_hao_pg
    chaegumi
        11
    chaegumi  
       2016-03-29 07:55:59 +08:00
    tn=47018152_dg
    alonga
        12
    alonga  
    OP
       2016-03-29 08:35:47 +08:00
    @stabc 是有用的,京东等电商类广告费结算时间是 2 个月以上,那么 2 个月内封他账号就可以让他没黑钱赚了。百度是一个月的结算期,加上百度联盟处理慢,可能会被这些家伙搞到钱,但是百度是国内告运营商最多的公司,他即使黑到钱自己也要掂量掂量吧,呵呵运营商的人小心偷鸡不成蚀把米。

    技术都是在分光做手脚,这技术原是用来保护匡胤家,现在运营商的小喽啰拿来诈骗匡胤家的公司,把黑钱捞进自己的口袋,可不是进郭家的钱袋。
    运营商只是郭家的公司,连事业单位都算不上,由匡胤家的人来管理(主要是资本运作和镀金),运营商这层次的技术人员可不是匡胤家的人。
    BAT 等网络公司部分股份可是匡胤家,而且是匡胤家私产。
    所以你直接跟工信部投诉这种行为,其实很少管的,不过投诉也算运营商 KPI 考核,会扣他们工资的。

    最好的方法就是让匡胤家的网络公司去搞他们,毕竟他们损害的是匡胤家的利益,对郭家也没好处。
    于情于理于法都走的通。


    @chaegumi 有些是浏览器、或者软件这类给百度推广也会有 TN 加上。
    但如果干净的系统、应用软件情况下,就是劫持。
    stabc
        13
    stabc  
       2016-03-29 08:48:10 +08:00
    @alonga 首先这种举报成本太高了,你举报掉一个,人家轻松注册 10 个。你可能觉得申请一个联盟正好也要时间,但是人家可能是流水线作业,直接买联盟账号来做。而且你的时间比他们时间要宝贵的多。
    根本问题是权利在他们手里,他们不跳转京东,可以跳转别的,反正赚 1 分钱也是赚,你还是被骚扰。曾经一度我访问优酷内页被插谷歌广告(通过 iframe 方式,一刷新就没了)。我们希望改变的事情是让他们停止劫持,而不是弹另外一家广告。
    pynix
        14
    pynix  
       2016-03-29 09:00:19 +08:00
    狗咬狗
    alonga
        15
    alonga  
    OP
       2016-03-29 09:00:33 +08:00
    @stabc 只要形成举报流程,一次举报对我来说就是 5 分钟而已,他买一套资料需要几百块的(对于严格的广告联盟,印象里百度联盟不是那么容易搞的,提现应该有限制),即使那种不严格的,我看见一个举报一个,他注册的成本肯定高于我举报成本,而且对于那种长时间放任注册的广告联盟就可以跟广告主直接说了,广告联盟自己都会收到牵连。
    他的成本比我高。
    而且他劫持影响的是以百万用户来记,江苏移动宽带好像有 500 万了。劫持一次对用户的影响就是 3s*5000000 约等于 173.61 天,即使单次针对性的举报,对我来讲是值得的。
    alonga
        16
    alonga  
    OP
       2016-03-29 09:05:54 +08:00
    @stabc google adsense 账号不是那么容易注册的,一个账号就得 300-400 元,如果对应的银行账号又得几百块,而且账号风险相当高,你举报绝对会划算的。
    举报地址
    https://support.google.com/adsense/contact/violation_report
    stabc
        17
    stabc  
       2016-03-29 09:05:58 +08:00
    @alonga 嗯,如果只是举手之劳,那么我支持你。
    stabc
        18
    stabc  
       2016-03-29 09:08:02 +08:00
    @alonga 谷歌的投诉我觉得作用会大些,他们对于一些内容侵权都会处理,这种劫持类型的应该更会重视。下次我看到一定举报他 Y 的。
    la0wei
        19
    la0wei  
       2016-03-29 10:19:13 +08:00
    支持楼主,广告联盟审核严格的话楼主这种方式很有效。
    Andy1999
        20
    Andy1999  
       2016-03-29 10:22:57 +08:00 via iPhone
    @alonga 强制 HTTPS 也没用,给你返回假的 TCP 包降 HTTP
    地区特殊 国家允许这么干
    qq651438555
        21
    qq651438555  
       2016-03-29 10:48:09 +08:00
    江苏电信也是这么干的,弄个举报流程出来,这样可以方便大家使用。关键是怎么样取证
    alonga
        22
    alonga  
    OP
       2016-03-29 13:10:12 +08:00
    @Andy1999 这是什么黑科技?
    应该是网站自己降到 HTTP 吧?
    跟有些网站首页有 HTTPS 但故意转到 HTTP ,降低安全性,但提高访问性能。
    我知道百度云在哈密瓜地区是开启特殊"照顾"的,就是类似这个?国内一些网站当访客 IP 是哈密瓜地区降级到 HTTP ?
    不然是无法劫持的啊,如果有这黑科技还要姓方的干嘛?

    @qq651438555 Firefox 、 Chrome 、 Wireshark (数据抓包)、 PotPlayer (录像)、 MTR (路由跟踪)、干净的 Win7 系统或者 Linux (如果 Win 系统装的东西多,如: QQ 、 360 等,系统就不可能干净了,可以 U 盘装个 Linux 来取证)
    基本就是这些。
    Andy1999
        23
    Andy1999  
       2016-03-29 13:16:17 +08:00 via iPhone
    @alonga 不是 就是运营商做的
    alonga
        24
    alonga  
    OP
       2016-03-29 13:22:33 +08:00
    @Andy1999 那应该是运营商手上有 SSL 证书吧?国内网站上缴的?
    不然你所说的就该上全球新闻的头条了。
    哪个网站啊?
    Andy1999
        25
    Andy1999  
       2016-03-29 13:26:53 +08:00 via iPhone
    @alonga 所有网站, SSL 证书不需要啊,是不受信任的
    alonga
        26
    alonga  
    OP
       2016-03-29 13:32:41 +08:00
    @Andy1999
    哦,哈密瓜地区是这样啊。。。
    手法很低级啊,虚假证书,直勾勾的显示错误啊,这搞法太明显了吧。
    alonga
        27
    alonga  
    OP
       2016-03-29 13:41:16 +08:00
    @Andy1999 哈密瓜地区那个已经不是运营商了。
    是郭家或者匡胤家的家丁做的,运营商真没这能量了。。。
    VmuTargh
        28
    VmuTargh  
       2016-03-29 14:53:00 +08:00 via Android
    @alonga
    @Andy1999
    强制 https 我之前一段时间经常遇到,坐标粤东
    怪不得 moecdn 经常挂
    owlsec
        29
    owlsec  
       2016-03-29 18:22:45 +08:00
    @alonga 我不记得是江苏移动还是联通出现过,给你 https 强降 http 在页面插广告的了,百度没开 HSTS 啊
    owlsec
        30
    owlsec  
       2016-03-29 18:35:50 +08:00 via Android
    @alonga 具体原理应该是 SSLStrip 那种。
    Andy1999
        31
    Andy1999  
       2016-03-29 22:53:34 +08:00 via iPhone
    @alonga 讲道理 真的有,我有 HSTS Preload 但是 80 同时开着,我能收到很多从 80 访问的 HTTP 请求
    alonga
        32
    alonga  
    OP
       2016-03-30 12:00:08 +08:00
    @owlsec 说的是哈密瓜区的网络,哈密瓜区有萧蔷,而且有段时间百度云针对哈密瓜区显示资源失效。
    哈密瓜区以前有半年的断网,那段时间像高丽国的光明网。
    我以为 @Andy1999 说的情况是国内某些网络公司在哈密瓜区搞特殊, HTTPS 降 HTTP 呢。

    应该是 SSLStrip 。

    @Andy1999 自己的网站开了 HSTS Preload List ?有用户还访问 HTTP ?爬虫吧?或者国内壳子 Chrome 浏览器的不启用 HSTS Preload List ?

    应该没大规模的漏洞的,如果能用早发现了,之前出现的多是假证书吧?

    我用的 NoScript 强制 HTTPS 。
    alonga
        33
    alonga  
    OP
       2016-03-30 12:08:52 +08:00
    @Andy1999 很多人的 Chrome 是不升级版本的,原因都懂。
    所以很多版本的 HSTS Preload List 并没有更新。
    Andy1999
        34
    Andy1999  
       2016-03-30 13:38:01 +08:00 via iPhone
    @alonga 然而就是强降 HTTP 假证书呗
    lyd600lty
        35
    lyd600lty  
       2016-03-31 03:34:39 +08:00
    tn 勾起了我昔日的回忆。。
    imiin
        36
    imiin  
       2016-04-03 15:13:57 +08:00
    @alonga 成都移动 劫持 hao123 的代码 tn=99178339_hao_pg
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5338 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 01:25 · PVG 09:25 · LAX 17:25 · JFK 20:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.