V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Garwih
V2EX  ›  问与答

http 劫持,有什么方法能找出劫持源?

  •  
  •   Garwih · 2014-06-29 13:55:05 +08:00 · 25361 次点击
    这是一个创建于 3825 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这几天访问京东时,发现会发生几次跳转,然后URL被加上推广代码。
    跳转情况如图:


    目前已排除的情况:
    1.浏览器流氓插件(换浏览器访问,结果一样);
    2.运营商劫持 (笔记本用的电信,用联通手机开启Wi-Fi热点给笔记本使用,结果一样);
    3.DNS劫持 (换DNS,结果一样);

    我怀疑是中了木马,用自带的MSE全盘查杀,无果;然后又下载了国产卫士和国产管家(主要用的都是小红伞的引擎)全盘查杀,无果。

    除了重装系统,有木有解决办法,能不能找出是被哪个程序劫持了?
    系统:Windows 8.1 Update 1
    第 1 条附言  ·  2014-06-29 19:52:21 +08:00
    运营商劫持可以排除的,我用Ubuntu的Live CD,使用同一个网络,访问京东是没问题的。
    第 2 条附言  ·  2014-06-30 13:45:42 +08:00
    问题已解决。
    其实就是中了木马。
    程序文件:http://pan.baidu.com/s/1i30yTjZ
    双击运行木马程序的exe文件(该程序默认以管理员身份运行),该程序会在C:\Windows\System32文件夹里面释放Packet.dll和wpcap.dll两个文件;
    还有在C:\Windows\SysWOW64文件夹中释放Packet.dll,wpcap.dll和msips.exe三个文件,并使用System用户启动msips.exe,以此来劫持京东,易迅等购物网站的链接并加上推广代码。
    不知道该程序还有没有其它后门什么的,有兴趣的可以下载去研究下。

    这东西看起来并不复杂,国内几个安全软件和微软的MSE都查不出这东西,令人不解。

    PS:运营商劫持我已通过几个方面排除了,但还是有很多回帖说是运营商劫持的,恳请各位回答问题的时候看清问题描述,谢谢~
    45 条回复    2019-03-07 13:41:53 +08:00
    oott123
        1
    oott123  
       2014-06-29 13:58:55 +08:00 via Android
    这看起来很厉害啊。
    检查过 hosts 了么?
    Garwih
        2
    Garwih  
    OP
       2014-06-29 14:00:49 +08:00 via Android
    @oott123 hosts没问题
    DreaMQ
        3
    DreaMQ  
       2014-06-29 14:02:53 +08:00
    很可能是运营商劫持,联通手机访问还是跳转可能是缓存的缘故
    看看同网络环境下其他设备呢
    davidyin
        4
    davidyin  
       2014-06-29 14:03:21 +08:00
    用随便哪个linux的live CD启动,然后上网看看。
    belin520
        5
    belin520  
       2014-06-29 14:04:59 +08:00 via Android
    dns劫持,我这边的vip.com跳到有一个推广链接的域名上
    wy315700
        6
    wy315700  
       2014-06-29 14:10:46 +08:00
    运营商劫持的 你没办法的
    Huazai
        7
    Huazai  
       2014-06-29 14:17:30 +08:00
    仲么还没搞定呀?
    Huazai
        8
    Huazai  
       2014-06-29 14:18:20 +08:00
    @DreaMQ 同学校的网络下的其他电脑没问题。
    Axurez
        10
    Axurez  
       2014-06-29 14:30:44 +08:00
    這是什麼軟件啊?
    JmmBite
        11
    JmmBite  
       2014-06-29 14:35:41 +08:00
    路由器被劫持了吧,是不是刷过了,还是买的二手路由
    zzColin
        12
    zzColin  
       2014-06-29 14:37:50 +08:00
    我也有点倾向于路由器问题,如果用的是公用网络的话可能性就更大了
    LetFoxRun
        13
    LetFoxRun  
       2014-06-29 14:38:18 +08:00
    以上CTRL+F5刷新下,再看看。
    如果不行,Win系统注册表里搜索下duapp yiqifa zhekoumei 看看能不能发现点什么。
    moroumo
        14
    moroumo  
       2014-06-29 14:57:30 +08:00
    又是yiqifa啊,这应该说联通那边的劫持。要么你用https,要么就忍了吧。
    我这mac,linux下都有,访问amazon.cn的时候。不是次次都有,大概5,6次就出现一次。
    你可以向JD投诉。
    emric
        15
    emric  
       2014-06-29 15:42:54 +08:00
    yiqifa, 应该是运营商的劫持我这里亦是.
    不介意的话可以把 `103.242.110.31 p.yiqifa.com` 加进 hosts.
    Garwih
        16
    Garwih  
    OP
       2014-06-29 15:46:38 +08:00
    @DreaMQ
    @davidyin
    @wy315700
    @JmmBite
    @zzColin
    @moroumo
    @emric
    校园网,同网络下其他人没问题。

    @belin520 改过DNS,有清除DNS缓存,还是一样。

    @Axurez Fiddler2

    @LetFoxRun 换过几个浏览器,用虚拟机也不行。注册表没搜索到这几个关键词。
    ihacku
        17
    ihacku  
       2014-06-29 15:50:39 +08:00
    昨天翻到某运营商系统的文档 内有亮点
    imn1
        18
    imn1  
       2014-06-29 16:41:34 +08:00
    京东我也中了一次,因为只有京东,其他站没事,就找在线客服投诉,那客服不懂网页技术,被我说得挺惨的~
    后来想想不对,不像之前遇到的劫持情况,就开始排查
    发现只有我常用的FireFox有这德行,更新版本也有(覆盖更新),关闭所有addons就没了,确认是addons
    逐个addon打开关闭,确认是油猴
    打开油猴,但全关油猴脚本,没了,确认是某个脚本
    逐个打开,确认是一个滚动到顶部的脚本
    找到脚本的存放目录,居然见到两个js,其中一个叫updater.js就是劫持跳转脚本~
    zjgood
        19
    zjgood  
       2014-06-29 16:46:09 +08:00
    @ihacku 这这这。。。。国家或许本无意监控,完全是这些蛋疼的公司提供的服务啊。。。
    GuangXiN
        20
    GuangXiN  
       2014-06-29 16:49:31 +08:00
    我遇到过劫持百度统计的。网络中间某一环发现我在请求百度统计的js代码,就直接回我一个302,然后浏览器收到的新的js会在当前浏览的网页最上面加一个a标签fixed布局,100%宽100%高,颜色透明,链到一个小网站,而且onclick会把这个标签删除,并且用cookie记录,每天每个网站最多出现三次这个情况。
    decken
        21
    decken  
       2014-06-29 16:58:23 +08:00
    @ihacku 这是什么来的.好奇
    jasontse
        22
    jasontse  
       2014-06-29 16:58:36 +08:00 via iPad
    抓过包吗
    ihacku
        23
    ihacku  
       2014-06-29 17:27:42 +08:00
    @zjgood 你这就是一厢情愿的想法 /t/115407
    ihacku
        24
    ihacku  
       2014-06-29 17:29:16 +08:00
    yfdyh000
        25
    yfdyh000  
       2014-06-29 17:29:37 +08:00
    kqz901002
        26
    kqz901002  
       2014-06-29 18:20:47 +08:00 via Android
    其实是扩展原因,看看有没有装一淘助手或者惠惠助手
    Garwih
        27
    Garwih  
    OP
       2014-06-29 18:27:13 +08:00 via Android
    @kqz901002 扩展原因是第一个排除的,你肯定没仔细看。
    KokongW
        28
    KokongW  
       2014-06-29 19:06:09 +08:00
    一般是运营商TCP劫持,可以考虑抓下包
    kqz901002
        29
    kqz901002  
       2014-06-29 19:26:34 +08:00
    @Garwih sorry, = =
    lightforce
        30
    lightforce  
       2014-06-29 19:29:34 +08:00
    你是不是访问过kds,kds上有人放cs,mlgb
    Garwih
        31
    Garwih  
    OP
       2014-06-29 19:48:58 +08:00
    @jasontse
    @KokongW
    用Fiddler2抓包,从那些数据没分析出什么来。

    @lightforce 没有啊。
    yfdyh000
        32
    yfdyh000  
       2014-06-29 19:54:28 +08:00
    @Garwih 得用 Wireshark 抓包,不过分析需要专业知识。
    vmebeh
        33
    vmebeh  
       2014-06-29 20:34:10 +08:00
    电信、长宽同被劫持,连续重新打开几次就没了,有效时间半天左右。
    贴个链接看看是不是同一id
    p.yiqifa.com/c?s=19d75af1&w=721664&c=254&i=160&l=0&e=&t=http://www.jd.com/
    renb
        34
    renb  
       2014-06-29 21:09:55 +08:00
    我安装了扩展youkuantiads_with_player。这个会劫持一些购物网站。和你的情况不一样。
    renb
        35
    renb  
       2014-06-29 21:16:59 +08:00
    @renb 暂时不确定
    Garwih
        36
    Garwih  
    OP
       2014-06-29 21:22:22 +08:00
    @yfdyh000 没这方面的专业知识。
    @vmebeh 不是。
    @renb 已确定与扩展无关。
    ysjdx
        37
    ysjdx  
       2014-06-29 22:32:39 +08:00
    曾经被99sushe(就是那个四六级查分的)劫持过LSP
    修复下看看
    Garwih
        38
    Garwih  
    OP
       2014-06-30 00:02:17 +08:00
    @ysjdx LSP没有检测到异常。
    nanpuyue
        39
    nanpuyue  
       2014-06-30 07:53:36 +08:00
    国内运营商就是喜欢乱来,你可以尝试到电信主管部门投诉运行商。
    sjzboy
        40
    sjzboy  
       2014-06-30 11:49:22 +08:00
    之前遇到过运营商劫持换dns,后来遇到是路由器劫持,还原后,重新设置,并且加密,没有了。
    9yu
        41
    9yu  
       2014-06-30 15:15:45 +08:00
    @ihacku 提供DNS劫持功能...
    seers
        42
    seers  
       2015-01-01 20:02:33 +08:00
    请问lz怎么发现木马,然后怎么解决的,目前我也是这个问题,但是没找到木马运行文件
    chineer
        43
    chineer  
       2015-02-16 14:57:04 +08:00 via Android
    手機都跳,應該是運營商吧
    Raul
        44
    Raul  
       2016-05-31 22:00:29 +08:00
    是 ISP 搞的鬼,与您本机无关。
    您访问 jd.com 是明文的 HTTP, 运营商劫持你的 HTTP 请求,返回一个事先准备好的带有跳转功能的 HTML 文档,然后就发生了您所描述的情况。
    如果你问 ISP ,他们还会扯淡说是您本机中病毒了什么的。。。
    tianwang
        45
    tianwang  
       2019-03-07 13:41:53 +08:00
    安全 稳定 放劫持的在线客服软件有哪些? -
    https://zhuanlan.zhihu.com/p/58556314
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:19 · PVG 10:19 · LAX 18:19 · JFK 21:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.