全球主机交流论坛

标题: 京东劫持,事情比我想象的大,并不是地方运营商所为 [打印本页]
作者: 蓝洛水深    时间: 2018-11-25 23:03
标题: 京东劫持,事情比我想象的大,并不是地方运营商所为
本帖最后由 蓝洛水深 于 2018-11-26 19:09 编辑

本地电信网络访问
http://www.jd.com
会跳转
https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=495b6b3d607b4a9b8442815106ee14b0

因为自用的是混合网络,电信联通移动共存同一子网,经证实只有在电信网络下会被劫持,联通移动不会。

已联系技术人员多次上门,包括单位、包括住所,包括工作人员所在机房,都被劫持,起初认为是片区区域性的劫持。

通过分析查看网络,发现访问http://www.jd.com,收到的返回内容居然是一段JS代码:

  1. <!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body><script>window.location.;</script></body></html>
复制代码


JS跳转推广网址


经过多方投诉,中间电信各种胡扯,暂且不谈,最终告诉我是京东CDN节点IP问题,IP是182.131.4.1。

我起初是不信的!

为了证实是否如此,我临时开通了一台北京IP的服务器,通过hosts指向182.131.4.1,发现也被劫持了!

而这一 IP据观察,覆盖范围为云南、贵州、四川

因为路由节点完全不同,所以已经排除机房所为,排除一级路由二级路由所为,目前等待电信进一步跟进并向京东检举举报此事!

起初认为只是一个辖区劫持,没想到三个省都被劫持,比我预想的要大得多,怪不得本地电信一直处理不了!

欢迎大家hosts到182.131.4.1的京东节点,看看是否被劫持,这一劫持会写cookie等,所以用火狐的隐私浏览能复现,否则只有第一次会出现劫持

附节点IP信息:
person:         Xiaodong Shi
nic-hdl:        XS16-AP
e-mail:         scipadmin2013@189.cn
address:        No.72,Wen Miao Qian Str.
address:        Data Communication Bureau Of Sichuan Province
address:        Chengdu
address:        PR China
phone:          +86-28-6190785
fax-no:         +86-28-6190641
country:        CN
mnt-by:         MAINT-CHINANET-SC
last-modified:  2013-12-30T01:32:36Z



看到有几位大佬说没有被劫持,我又开了台机子测试,发现可以复现的




2018年11月26日00:41:08
楼下几位大佬重新尝试http://www.jd.com,能复现劫持了,所以这个问题确认存在




随便发了一篇WB,我相信京东是不会理的。
https://weibo.com/1311006524/H4tPSnOzZ


作者: gdtv    时间: 2018-11-25 23:05
我这里移动以前也是。
话说在中国违法成本太低了,这种情况被查出的话,最多就革职,但已经赚够了。
作者: hxuf    时间: 2018-11-25 23:05
电信用着企业级设备劫持
作者: Aybway    时间: 2018-11-25 23:05
提示: 作者被禁止或删除 内容自动屏蔽
作者: cdseoo    时间: 2018-11-25 23:06
就这个事情我也投诉过两次,后来都是不了了之。以后清空浏览器之后全都手打https访问了
作者: 蓝洛水深    时间: 2018-11-25 23:06
gdtv 发表于 2018-11-25 23:05
我这里移动以前也是。
话说在中国违法成本太低了,这种情况被查出的话,最多就革职,但已经赚够了。 ...

但是目前已经没有证据表明是本地电信的问题了,hosts京东IP易地也一样复现劫持,路由完全不同,但结果相同
作者: edear    时间: 2018-11-25 23:07
所以要养成习惯用https
作者: yukisan    时间: 2018-11-25 23:08
海南联通已缴枪 被劫持
作者: gdtv    时间: 2018-11-25 23:08
楼主,我测试了,我是广东电信,用你的方法,重现了,和你一样。
作者: 蓝洛水深    时间: 2018-11-25 23:08
cdseoo 发表于 2018-11-25 23:06
就这个事情我也投诉过两次,后来都是不了了之。以后清空浏览器之后全都手打https访问了 ...

电信这样回复我过,但是目前我至少负责几百台设备,这一方案不太适用
作者: 蓝洛水深    时间: 2018-11-25 23:10
Aybway 发表于 2018-11-25 23:05
。。。京东劫持到京东节点吗没太看懂

就是电信排查后觉得是京东的节点问题,通过ping.chinaz.com查看,西南地区的IP均指向同一个。
我为了反证和京东的CDN节点没有关系,去弄了一台鹏博士北京的机子,hosts到西南地区的京东CDN,结果问题复现,说明我错了,真的是这个CDN节点IP问题,不信你也可以试试
作者: cdseoo    时间: 2018-11-25 23:10
看这个节点在成都,应该是四川电信高层参与了,目前扳不动。
作者: 蓝洛水深    时间: 2018-11-25 23:13
cdseoo 发表于 2018-11-25 23:10
看这个节点在成都,应该是四川电信高层参与了,目前扳不动。

是的,我联系了我们本地辖区的纪委本来想处理这个事情的,现在发现处理不了
作者: 蓝洛水深    时间: 2018-11-25 23:15
gdtv 发表于 2018-11-25 23:05
我这里移动以前也是。
话说在中国违法成本太低了,这种情况被查出的话,最多就革职,但已经赚够了。 ...

我开始的方向是走电信,让他们自己解决,后来发现行不通,我走的纪委和信访还有工信部,不然电信早就不理我啦
作者: icesunx    时间: 2018-11-25 23:15
cdn那边劫持的?有意思
作者: 蓝洛水深    时间: 2018-11-25 23:16
hxuf 发表于 2018-11-25 23:05
电信用着企业级设备劫持

从北京出发,我看了路由也完全不同,最终走到182.131.4.1才被劫持,不能肯定是电信所为,也有可能是京东这个节点被黑客攻击
作者: 恢复自我    时间: 2018-11-25 23:16
我们公司的网络也被劫持了 开始以为是公司设备网络供应商的问题 怎么查都没有查出来
作者: cdseoo    时间: 2018-11-25 23:16
蓝洛水深 发表于 2018-11-25 23:13
是的,我联系了我们本地辖区的纪委本来想处理这个事情的,现在发现处理不了 ...

这个事情投诉电信后就会装13,投诉去jd联盟,js联盟也觉得这点小钱对他们来说无所谓,在人/治的社会,你要学会手动批量管理你的设备
作者: 我是入    时间: 2018-11-25 23:17
提示: 作者被禁止或删除 内容自动屏蔽
作者: 蓝洛水深    时间: 2018-11-25 23:19
cdseoo 发表于 2018-11-25 23:16
这个事情投诉电信后就会装13,投诉去jd联盟,js联盟也觉得这点小钱对他们来说无所谓,在人/治的社会,你 ...

嗯,投诉京东联盟能很快解决一个问题,但不保证会换一个IP继续劫持。我不想那么快结束,想知道是电信哪一层部门弄的,怎么弄的,错以为是隔壁网管中心的那几个,所以一直跟进电信
作者: 蓝洛水深    时间: 2018-11-25 23:20
我是入 发表于 2018-11-25 23:17
我拿京东云的一台小鸡试了下  网址没跳转

可否私信我试试
作者: cdseoo    时间: 2018-11-25 23:22
蓝洛水深 发表于 2018-11-25 23:19
嗯,投诉京东联盟能很快解决一个问题,但不保证会换一个IP继续劫持。我不想那么快结束,想知道是电信哪一 ...

希望能尽快水落石出,但是想想没那么容易~
就好像油价能回落到5块的水平,只在梦里见。
作者: 我是入    时间: 2018-11-25 23:23
提示: 作者被禁止或删除 内容自动屏蔽
作者: xfspace    时间: 2018-11-25 23:23
  1. # curl https://182.131.4.1 -H "Host: www.jd.com" -kI -A "Mozilla/5.0 (Linux; x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"

  3. HTTP/2 200
  4. server: JDWS/2.0
  5. date: Sun, 25 Nov 2018 15:15:21 GMT
  6. content-type: text/html; charset=utf-8
  7. content-length: 114850
  8. vary: Accept-Encoding
  9. vary: Accept-Encoding
  10. expires: Sun, 25 Nov 2018 15:15:09 GMT
  11. cache-control: max-age=30
  12. ser: 130.28
  13. via: BJ-Y-NX-102(HIT), http/1.1 CD-CT-1-JCS-31 ( [cRs f ])
  14. age: 28
  15. strict-transport-security: max-age=3600
复制代码


路过
作者: 蓝洛水深    时间: 2018-11-25 23:23
cdseoo 发表于 2018-11-25 23:22
希望能尽快水落石出,但是想想没那么容易~
就好像油价能回落到5块的水平,只在梦里见。 ...

嗯,现在先看看具体问题出现在哪个环节,才好应对下一步
作者: riwsh    时间: 2018-11-25 23:23
移动 hosts改成182.131.4.1 没发现问题
作者: 蓝洛水深    时间: 2018-11-25 23:27
xfspace 发表于 2018-11-25 23:23
路过

Safari
我本地100%都不会被劫持,具体原因未知
作者: bill    时间: 2018-11-25 23:28
难怪现在访问百度都是强制跳转https。我觉得京东应该从源头来控制用户访问,用户访问80端口直接跳转443.
作者: 蓝洛水深    时间: 2018-11-25 23:29
riwsh 发表于 2018-11-25 23:23
移动 hosts改成182.131.4.1 没发现问题

移动联通没有问题,要一个电信IP
具体原因我目前还没想明白
作者: zhc670    时间: 2018-11-25 23:29
工信部吧
理论上法院可以告
不过这种举证不容易
就算告下来也没啥进项
在老美那边可以找律师团

作者: nomaka    时间: 2018-11-25 23:30
楼主 汇报给 京东, 让京东自己出面
作者: 蓝洛水深    时间: 2018-11-25 23:31
bill 发表于 2018-11-25 23:28
难怪现在访问百度都是强制跳转https。我觉得京东应该从源头来控制用户访问,用户访问80端口直接跳转443. ...

京东也是强制https,但是没用,用户访问www.jd.com,通常不会手动加https。
正常情况下http会302跳转https,但是通过劫持,http访问就被劫持了,还轮不到https
作者: kaho100    时间: 2018-11-25 23:32
电信内鬼,或者是电信某项外包业务被人植入后门
作者: 基长    时间: 2018-11-25 23:33
山东电信,hosts    182.131.4.1 www.jd.com     没有劫持。
作者: 蓝洛水深    时间: 2018-11-25 23:35
基长 发表于 2018-11-25 23:33
山东电信,hosts    182.131.4.1 www.jd.com     没有劫持。

尝试换个浏览器,没有访问过京东的
作者: shijinqiang    时间: 2018-11-25 23:36
我也一直以为只有我这被劫持了
作者: 蓝洛水深    时间: 2018-11-25 23:39
shijinqiang 发表于 2018-11-25 23:36
我也一直以为只有我这被劫持了

我一直也这样认为,还认为只有我们这个片区是
作者: DKsword    时间: 2018-11-25 23:39
本帖最后由 DKsword 于 2018-11-25 23:45 编辑

刚刚说错了。。
湖北电信也被劫持了,不过我平时都是默认https
本地的CDN节点没问题
作者: 基长    时间: 2018-11-25 23:44
本帖最后由 基长 于 2018-11-25 23:47 编辑
蓝洛水深 发表于 2018-11-25 23:35
尝试换个浏览器,没有访问过京东的


嗯 刚才试过了  用了chrome和edge   edge装了系统就没用过  
都没出现劫持   
=====================================================================

纠正一下,刚才忘了  一直用的https   换http以后出现劫持了
作者: 落日惊鸿    时间: 2018-11-25 23:58
我这被劫持了
作者: 黑大王    时间: 2018-11-26 00:14
大佬给他d进黑洞啊
作者: 党员要以身作则    时间: 2018-11-26 00:22
成都 被劫持了
作者: cxd44    时间: 2018-11-26 00:25
我经常是这样,懒得理了
作者: mulincheng8    时间: 2018-11-26 00:28
提示: 作者被禁止或删除 内容自动屏蔽
作者: shiro    时间: 2018-11-26 00:32
大佬给他d进黑洞啊 以恶治恶我看行
作者: 党员要以身作则    时间: 2018-11-26 00:33
我倒是挺烦的 每天都要出现几次 是否打开京东app的提示
作者: 琪露诺    时间: 2018-11-26 00:34
本帖最后由 琪露诺 于 2018-11-26 00:43 编辑

北京微软被劫持。。
作者: shiro    时间: 2018-11-26 00:35
xfspace 发表于 2018-11-25 23:23
路过

改成http,然后linux换成windows
作者: 观海听涛    时间: 2018-11-26 00:36
这个页面上也没有什么特别的东西呀
作者: 蓝洛水深    时间: 2018-11-26 00:43
mulincheng8 发表于 2018-11-26 00:28
楼主劝你句,这后面利益链非常大,起码到省部级,刚不动的

16/17年我在报社的时候,有人上门说过了
作者: 蓝洛水深    时间: 2018-11-26 00:50
DKsword 发表于 2018-11-25 23:39
刚刚说错了。。
湖北电信也被劫持了,不过我平时都是默认https  
本地的CDN节点没问题 ...

嗯,我特意开了台机子验证,能复现的,可能多尝试两次
作者: shiro    时间: 2018-11-26 01:00
  1. curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537  .36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
复制代码


试了几台机子上都能复现

要用HTTP,UA要Windows,然后貌似只有每个IP第一次访问是稳定出现,然后就大概率返回正常的了
作者: 不知其美    时间: 2018-11-26 01:01
太牛比了
作者: shiro    时间: 2018-11-26 01:45
还有一种可能,虽然可能性不大,就是有人针对这台节点机子出口做了劫持。
作者: zwstar    时间: 2018-11-26 02:16
在Google Cloud香港复现
作者: loukky    时间: 2018-11-26 02:37
四川电信成功复现
作者: domin    时间: 2018-11-26 03:10
很简单, JD的机器被ARP攻击了. 哈哈.  只是猜的一个可能性.
作者: vagaa    时间: 2018-11-26 06:18
都习惯了。反正每次都是无痕买东西。
作者: xdl    时间: 2018-11-26 07:11
我们这里是本地运营商劫持,投诉后就解决了
作者: vpshost    时间: 2018-11-26 07:19
一般走https,这样就不会了
作者: zhxhwyzh14    时间: 2018-11-26 08:00
卧槽 厉害了 不知道京东会怎么处理啊…
作者: lzdszdl    时间: 2018-11-26 08:15
四川电信-校园网 同出现这个情况
作者: lunatic    时间: 2018-11-26 08:24
这每个月赚返利能挣多少啊
作者: pulpfunction    时间: 2018-11-26 08:30
隔壁jd员工都出来警告了哈哈哈
作者: 肆无忌惮    时间: 2018-11-26 08:37
提示: 作者被禁止或删除 内容自动屏蔽
作者: wolfid    时间: 2018-11-26 08:41
这得收多少推广费?
作者: mikelucky    时间: 2018-11-26 08:42
提示: 作者被禁止或删除 内容自动屏蔽
作者: wolfid    时间: 2018-11-26 08:42
刚刚试了,重庆电信重庆联通无问题,照理说重庆这边应该到解析到四川的呀
作者: 黑街老祖    时间: 2018-11-26 09:01
提示: 作者被禁止或删除 内容自动屏蔽
作者: 嘉靖    时间: 2018-11-26 09:08
很少能有人跟电信扯到上面几级网络,大多数客服都说是你自己网络问题,然后就没然后呢。
作者: wenguonideshou    时间: 2018-11-26 09:20
看来楼主还是很认真的    赞一个
作者: Evan    时间: 2018-11-26 09:23
本帖最后由 Evan 于 2018-11-26 09:25 编辑

广东电信可以复现,要加浏览器UA。
  1. > curl -v http://182.131.4.1 -H "host:www.jd.com" -H "user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
  2. *   Trying 182.131.4.1...
  3. * TCP_NODELAY set
  4. * Connected to 182.131.4.1 (182.131.4.1) port 80 (#0)
  5. > GET / HTTP/1.1
  6. > Host:www.jd.com
  7. > Accept: */*
  8. > user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
  9. >
  10. < HTTP/1.1 200 OK
  11. < Connection: close
  12. < Content-Length: 171
  13. < Content-Type: text/html;charset=UTF-8
  14. < P3p: CP=" JD COM "
  15. < Pragma: no-cache
  16. < server: JDWS/2.0
  17. <
  18. <!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body><script>window.location.hr防e屏f蔽="htt防ps屏:/蔽/u啊啊啊ni嗯嗯嗯on-click.j啊啊啊d.co嗯嗯嗯m/jdc?d=Wy6RM7";</script></body></html>* Closing connection 0
复制代码
作者: amo    时间: 2018-11-26 09:25
Aybway 发表于 2018-11-25 23:05
。。。京东劫持到京东节点吗没太看懂

有人劫持牟利。你不懂?
作者: cdseoo    时间: 2018-11-26 09:26
用腾讯北京的小鸡试了一下

  1. # curl -v http://182.131.4.1 -H "host:www.jd.com" -H "user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
  2. * Rebuilt URL to: http://182.131.4.1/
  3. *   Trying 182.131.4.1...
  4. * TCP_NODELAY set
  5. * Connected to 182.131.4.1 (182.131.4.1) port 80 (#0)
  6. > GET / HTTP/1.1
  7. > host:www.jd.com
  8. > Accept: */*
  9. > user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
  10. >
  11. < HTTP/1.1 200 OK
  12. < Connection: close
  13. < Content-Length: 171
  14. < Content-Type: text/html;charset=UTF-8
  15. < P3p: CP=" JD COM "
  16. < Pragma: no-cache
  17. < server: JDWS/2.0
  18. <
  19. * Curl_http_done: called premature == 0
  20. * Closing connection 0
  21. <!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body><script>window.location.;</script></body></html>
复制代码
作者: crazywings    时间: 2018-11-26 09:29
[root]# curl -v http://182.131.4.1 -H "host:www.jd.com" -H "user-agent: Mozilla/5.0 (Windows NT 1
0.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
> GET / HTTP/1.1
> Accept: */*
> host:www.jd.com
> user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
>
< HTTP/1.1 200 OK
< Connection: close
< Content-Length: 171
< Content-Type: text/html;charset=UTF-8
< P3p: CP=" JD COM "
< Pragma: no-cache
< server: JDWS/2.0
<
<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body><script>window.location.;</script></body></html>
[root]# nslookup www.jd.com
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost.localdomain

Name:      www.jd.com
Address 1: 61.174.55.1 1.55.174.61.dial.wz.zj.dynamic.163data.com.cn
[root]# curl -v http://61.174.55.1 -H "host:www.jd.com" -H "user-agent: Mozilla/5.0 (Windows NT 1
0.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
> GET / HTTP/1.1
> Accept: */*
> host:www.jd.com
> user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
>
< HTTP/1.1 302 Moved Temporarily
< Server: JDWS/2.0
< Date: Mon, 26 Nov 2018 01:20:56 GMT
< Content-Type: text/html
< Content-Length: 157
< Connection: keep-alive
< Location: https://www.jd.com/
< Strict-Transport-Security: max-age=3600
<
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>

幸好杭州电信没CDN到那个IP
作者: whj2243528    时间: 2018-11-26 09:31
刚才试了下,好像我公司网络不会。
作者: 奔跑的菜鸟    时间: 2018-11-26 09:34
难道就我一个?想知道怎么劫持,学习~
作者: doors    时间: 2018-11-26 09:35
一到电商大节日,就是各种网络劫持,软件纷纷弹出广告
作者: Geekman    时间: 2018-11-26 09:38
可怕~ 利益相关
作者: luwenrong    时间: 2018-11-26 09:48
我几年前用联通的时候就被劫持了,起初以为是路由器固件的锅,也打客服投诉过
作者: riwsh    时间: 2018-11-26 09:55

修改hosts
作者: 安迪    时间: 2018-11-26 10:03
本帖最后由 安迪 于 2018-11-26 10:04 编辑

坐标广东电信  能复现

  1. curl -v http://182.131.4.1 -H "host:www.jd.com" -H "user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x 64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
  2. * Rebuilt URL to: http://182.131.4.1/
  3. *   Trying 182.131.4.1...
  4. * TCP_NODELAY set
  5. * Connected to 182.131.4.1 (182.131.4.1) port 80 (#0)
  6. > GET / HTTP/1.1
  7. > Host:www.jd.com
  8. > Accept: */*
  9. > user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
  10. >
  11. < HTTP/1.1 200 OK
  12. < Connection: close
  13. < Content-Length: 171
  14. < Content-Type: text/html;charset=UTF-8
  15. < P3p: CP=" JD COM "
  16. < Pragma: no-cache
  17. < server: JDWS/2.0
  18. <
  19. <!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body><script>window.location.href="h t t p s:// union-click.jd.com/jdc?d=Wy6RM7";</script></body></html>* Closing connection 0
复制代码
作者: ailaike    时间: 2018-11-26 10:09
太多了很多都是dns直接劫持的
作者: zhc670    时间: 2018-11-26 10:15
城域网运营商有dns劫持,
比如浏览器在异地上网的时候会弹运营商的套餐推荐,
不过最近这么干的好像少了。
作者: che    时间: 2018-11-26 10:17
提示: 作者被禁止或删除 内容自动屏蔽
作者: shiro    时间: 2018-11-26 10:20
ailaike 发表于 2018-11-26 10:09
太多了很多都是dns直接劫持的

楼主这个就厉害了,直接CDN动手脚,能解析到这个节点的人全都中招(西南几省)
作者: che    时间: 2018-11-26 10:24
提示: 作者被禁止或删除 内容自动屏蔽
作者: cmse    时间: 2018-11-26 10:27
好像用https不会劫持。。。不过,也转购了。
作者: hihandbag    时间: 2018-11-26 10:33
上海电信,还好,正常。
作者: aiseo    时间: 2018-11-26 10:39
本帖最后由 aiseo 于 2018-11-26 10:50 编辑

明白了,企业级强行AFF
作者: 静候轮回    时间: 2018-11-26 10:50
湘江边 中国结 一切正常
作者: wub_sora    时间: 2018-11-26 10:50
成都电信,第一次打开确实如楼主所说,跳转到https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=0195854e86db4cccaf64afc4cddd6954
小白顺便问下,这个对我们有什么影响呢?点到的是其他商家加了推广的链接?
作者: shiro    时间: 2018-11-26 11:00
wub_sora 发表于 2018-11-26 10:50
成都电信,第一次打开确实如楼主所说,跳转到https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tui ...

被跳转的人,在狗东买东西,狗东返利给搞劫持的人
作者: MYI    时间: 2018-11-26 11:15
湖南长沙表示已被劫持,不过这后面涉及的利益不可小视。

不能多说,容易被查水表。总之,天下乌鸦___________。
作者: 蓝洛水深    时间: 2018-11-26 12:04
wub_sora 发表于 2018-11-26 10:50
成都电信,第一次打开确实如楼主所说,跳转到https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tui ...

双十一如果京东产生了1亿交易额,这些人保守估计有500万收入,当然不止1亿交易额
作者: yumo    时间: 2018-11-26 12:26
坐标四川电信,并没有
作者: 菜姬    时间: 2018-11-26 12:27
最强affman,直接从服务器下手
作者: 小号    时间: 2018-11-26 12:32
何止京东,所有购物网站都劫持的。
作者: 84iis.com    时间: 2018-11-26 12:40
江苏电信手动host,可以重现,跳转地址:https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=8c86bb6a7a324370b4e344c6255ea2ec

作者: shiro    时间: 2018-11-26 12:44
  1. tcpdump -i eth0 -n ne t 182.131.4.0/24
  2. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
  3. listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
  4. 12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
  5. 12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
  6. 12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
  7. 12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
  8. 12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
  9. 12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
  10. 12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
复制代码


被抢答了,所以还是运营商背锅?



欢迎光临 全球主机交流论坛 (https://hostloc.com/) Powered by Discuz! X3.4