京东劫持，事情比我想象的大，并不是地方运营商所为

蓝洛水深 · 发表于 2018-11-25 23:03:29

本帖最后由蓝洛水深于 2018-11-26 19:09 编辑

本地电信网络访问
http://www.jd.com
会跳转
https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=495b6b3d607b4a9b8442815106ee14b0

因为自用的是混合网络，电信联通移动共存同一子网，经证实只有在电信网络下会被劫持，联通移动不会。

已联系技术人员多次上门，包括单位、包括住所，包括工作人员所在机房，都被劫持，起初认为是片区区域性的劫持。

通过分析查看网络，发现访问http://www.jd.com，收到的返回内容居然是一段JS代码：

<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body><script>window.location.;</script></body></html>

复制代码

JS跳转推广网址

经过多方投诉，中间电信各种胡扯，暂且不谈，最终告诉我是京东CDN节点IP问题，IP是182.131.4.1。

我起初是不信的！

为了证实是否如此，我临时开通了一台北京IP的服务器，通过hosts指向182.131.4.1，发现也被劫持了！

而这一 IP据观察，覆盖范围为云南、贵州、四川

因为路由节点完全不同，所以已经排除机房所为，排除一级路由二级路由所为，目前等待电信进一步跟进并向京东检举举报此事！

起初认为只是一个辖区劫持，没想到三个省都被劫持，比我预想的要大得多，怪不得本地电信一直处理不了！

欢迎大家hosts到182.131.4.1的京东节点，看看是否被劫持，这一劫持会写cookie等，所以用火狐的隐私浏览能复现，否则只有第一次会出现劫持

附节点IP信息：

person:       Xiaodong Shi
nic-hdl:       XS16-AP
e-mail:       [email protected]
address:       No.72,Wen Miao Qian Str.
address:       Data Communication Bureau Of Sichuan Province
address:       Chengdu
address:       PR China
phone:       +86-28-6190785
fax-no:       +86-28-6190641
country:       CN
mnt-by:       MAINT-CHINANET-SC
last-modified:  2013-12-30T01:32:36Z

看到有几位大佬说没有被劫持，我又开了台机子测试，发现可以复现的

2018年11月26日00:41:08
楼下几位大佬重新尝试http://www.jd.com，能复现劫持了，所以这个问题确认存在

随便发了一篇WB，我相信京东是不会理的。
https://weibo.com/1311006524/H4tPSnOzZ

cdseoo · 发表于 2018-11-25 23:10:45

看这个节点在成都，应该是四川电信高层参与了，目前扳不动。

zwstar · 发表于 2018-11-26 02:16:36

在Google Cloud香港复现

shiro · 发表于 2018-11-26 10:20:26

ailaike 发表于 2018-11-26 10:09
太多了很多都是dns直接劫持的

楼主这个就厉害了，直接CDN动手脚，能解析到这个节点的人全都中招（西南几省）

shiro · 发表于 2018-11-26 01:00:13

curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537 .36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"

复制代码

试了几台机子上都能复现

要用HTTP，UA要Windows，然后貌似只有每个IP第一次访问是稳定出现，然后就大概率返回正常的了

wub_sora · 发表于 2018-11-26 10:50:39

成都电信，第一次打开确实如楼主所说，跳转到https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=0195854e86db4cccaf64afc4cddd6954
小白顺便问下，这个对我们有什么影响呢？点到的是其他商家加了推广的链接？

loukky · 发表于 2018-11-26 02:37:50

四川电信成功复现

琪露诺 · 发表于 2018-11-26 00:34:36

本帖最后由琪露诺于 2018-11-26 00:43 编辑

北京微软被劫持。。

gdtv · 发表于 2018-11-25 23:05:24

我这里移动以前也是。
话说在中国违法成本太低了，这种情况被查出的话，最多就革职，但已经赚够了。

hxuf · 发表于 2018-11-25 23:05:35

电信用着企业级设备劫持

Aybway · 发表于 2018-11-25 23:05:42

提示: 作者被禁止或删除内容自动屏蔽

cdseoo · 发表于 2018-11-25 23:06:01

就这个事情我也投诉过两次，后来都是不了了之。以后清空浏览器之后全都手打https访问了

蓝洛水深 · 发表于 2018-11-25 23:06:42

gdtv 发表于 2018-11-25 23:05
我这里移动以前也是。
话说在中国违法成本太低了，这种情况被查出的话，最多就革职，但已经赚够了。 ...

但是目前已经没有证据表明是本地电信的问题了，hosts京东IP易地也一样复现劫持，路由完全不同，但结果相同

edear · 发表于 2018-11-25 23:07:18

所以要养成习惯用https

yukisan · 发表于 2018-11-25 23:08:13

海南联通已缴枪被劫持

gdtv · 发表于 2018-11-25 23:08:44

楼主，我测试了，我是广东电信，用你的方法，重现了，和你一样。

蓝洛水深 · 发表于 2018-11-25 23:08:55

cdseoo 发表于 2018-11-25 23:06
就这个事情我也投诉过两次，后来都是不了了之。以后清空浏览器之后全都手打https访问了 ...

电信这样回复我过，但是目前我至少负责几百台设备，这一方案不太适用

		自动登录	找回密码
密码			注册

Aybway Aybway 当前离线积分 5765	4^# 发表于 2018-11-25 23:05:42 来自手机 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
Aybway Aybway 当前离线积分 5765
	回复支持反对举报

[疑问] 京东劫持，事情比我想象的大，并不是地方运营商所为

点评

点评