V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Archeb
V2EX  ›  宽带症候群

CloudFlare IP 再次被 TCP 劫持

  •  2
     
  •   Archeb · 2019-08-03 23:50:21 +08:00 · 11970 次点击
    这是一个创建于 1930 天前的主题,其中的信息可能已经有所发展或是发生改变。
    受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站

    症状同两个月前的
    https://www.v2ex.com/t/572057
    https://www.v2ex.com/t/572031
    第 1 条附言  ·  2019-08-12 12:46:53 +08:00
    广州联通、南京联通、山东联通已恢复

    根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
    65 条回复    2020-04-23 20:38:28 +08:00
    dot2017
        1
    dot2017  
       2019-08-04 00:17:39 +08:00
    哦吼 这就很*了,骨干网的内鬼么
    yexm0
        2
    yexm0  
       2019-08-04 00:23:04 +08:00
    TCP: i.v2ex.co/6Ly78uDG.jpeg
    ICMP: i.v2ex.co/p8WfYBwY.png
    广东电信这是缺钱花了?
    yexm0
        3
    yexm0  
       2019-08-04 00:25:15 +08:00
    @yexm0 fix:去掉广东
    CernetBoom
        4
    CernetBoom  
       2019-08-04 03:37:54 +08:00 via Android
    @yexm0 不止电信,联通移动 连科技网都是这样
    well666
        5
    well666  
       2019-08-04 09:45:17 +08:00 via iPhone
    mytsing520
        6
    mytsing520  
       2019-08-04 10:03:03 +08:00
    上午 10 点,杭州电信测试已经恢复。
    Peanut666
        7
    Peanut666  
       2019-08-04 10:24:34 +08:00
    四川电信,劫持依然存在
    mytsing520
        8
    mytsing520  
       2019-08-04 10:32:13 +08:00
    上午 10 点 05,杭州电信测试恢复劫持。
    lp10
        9
    lp10  
       2019-08-04 10:49:57 +08:00
    2019-08-04 10:45 UTC+8
    同 IP 无代理,mac Safari 访问正常,新 Edge 跳转菠菜

    哈???
    Windelight
        10
    Windelight  
       2019-08-04 10:50:34 +08:00 via Android   ❤️ 3
    10 点 12 分,河北联通、河北移动仍未恢复

    另外有趣的是河北联通跳转到一个 0031001569 点 res 点 websd8 点 com 的网站,河北移动跳转到 40010009 点 echatu 点 com 的网站

    前者安装包叫 com.game.ddz-v1.0.0.5.apk ,后者叫 cf0728_channel_9.apk

    前者下载地址是
    app-eslz3u 点 openinstall 点 io/install/c/eyJkIjp7InNwcmVhZGVyIjoiMDAzMTAwMTU2OSJ9LCJtIjoiZnFJcGZ4ZDNpajRBQUFGc1dtVDBLUnNVTnVLWXU2VTRuNlNVcUlhVm1WVkVYUFAxRlNUc1h4S1dlUEE4X0NIelFmSSJ9
    后边的地址是 apk 点 wanlongcaifu 点 com/v60/cf0728_channel_9 点 apk
    经过查看,后者下载地址竟然还特么带 https??

    沃特玛现骗子还这么高级??
    经过百度和必应查询,之前本以为就是附近的固安万隆财富广场,结果一查不是,百度和必应复合结果如下
    1.某些 seo 查询网站留下的一堆无意义历史记录
    包括 70dir 点 com,chinaz 点 com,都是搜索引擎对这些网站的历史记录所留下的缓存
    2.在 21CN 门户聚投诉下面一个 id 为 CN1012987 的投诉,大致意思是有人被微信上的推销读博 app,然后被骗钱,重点来了,那个 app 叫超飞娱乐,地址是 40011126 点 wanlongcaifu 点 com,后者页面完全一致!!!
    3.还有一个更大的包,就是在必应上查到了某不知名的网址导航提供了公司名 地址是 zibo 点 26595 点 com/daohang/967086.html 那个公司叫做 淄博晖博投资有限公司

    好了,收集到了以上信息,当然那个网址导航的信息真实性可疑,但是也要从别的地方入手了

    首先我赶快下载了一个 Chrome Mobile,把原网址换成 40011126 那个,然后加上 https,好了 get 到了 https 证书,非常遗憾这特么用的是 Let's Encrypt,假设他们要是能用 EV SSL 的话那我不就........
    当然这个不存在了,下面就只能信一下那个网址导航了。
    下面打开天眼查,输入该公司名称,真的查到了,法代叫做 于修强,该公司真的有一个备案叫做 淄博晖博投资有限公司万隆财富 的网站,地址同,备案号是 鲁 ICP 备 16020641 号,经工信部网站验证确定该备案主体-1 的备案号就是这个网站,然后直接打开就是最开始后者的页面
    这个公司是 2015 年 11 月 12 日成立,备案是 2016 年 6 月 6 日


    未完待续.............

    (上述域名请自动补齐 http/https 协议头和点)
    dahounet
        11
    dahounet  
       2019-08-04 11:01:44 +08:00 via Android
    有人在骨干网(或者是某墙)上面搞劫持?
    jousca
        12
    jousca  
       2019-08-04 11:55:32 +08:00
    四川移动刚才测试也是劫持依然存在
    scnace
        13
    scnace  
       2019-08-04 12:00:55 +08:00 via Android
    浙江电信没挂代理跳转到 https://40010009.echatu.com/
    lzp7
        14
    lzp7  
       2019-08-04 12:05:01 +08:00 via Android
    山东移动稳定复现
    lzp7
        15
    lzp7  
       2019-08-04 12:06:49 +08:00 via Android
    劫持地址和上面几楼不太一样
    http://0031001569.gzxnlk.com/
    jousca
        16
    jousca  
       2019-08-04 12:21:20 +08:00   ❤️ 1
    @dahounet 灰色产业,在过滤设备上劫持某些非国内网站跳自己黑产上。内外勾结或者职务之便。知道对方和客户都无法投诉举证。
    jousca
        17
    jousca  
       2019-08-04 12:22:15 +08:00
    @lzp7 用 HTTPS 就到你这个,不用 HTTPS 就到 4001 开头那个。HTTPS 的时候浏览器会提示证书不可信
    derekwei
        18
    derekwei  
       2019-08-04 15:51:37 +08:00
    投诉给电信就给我我回了句“我们工程师没有检查到类似问题”,还要我提供访问网站的网址。
    loukky
        19
    loukky  
       2019-08-04 16:40:23 +08:00
    BlitheHusky
        20
    BlitheHusky  
       2019-08-04 17:30:26 +08:00 via Android
    江苏电信稳定复现。
    一开始拿手机发现正常,再看看是走了代理。😂😂😂
    ZRS
        21
    ZRS  
       2019-08-04 18:09:58 +08:00
    稳定复现
    ochatokori
        22
    ochatokori  
       2019-08-04 20:46:58 +08:00 via Android
    广州移动 4g 复现
    jousca
        23
    jousca  
       2019-08-04 20:55:28 +08:00
    感觉这个方式就是典型的 BGP 劫持
    CernetBoom
        24
    CernetBoom  
       2019-08-04 21:02:27 +08:00 via Android
    @jousca 哈? BGP Hijack 你 ICMP 还能通?
    jousca
        25
    jousca  
       2019-08-04 21:03:07 +08:00
    jousca
        26
    jousca  
       2019-08-04 21:05:52 +08:00
    @CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由??
    CernetBoom
        27
    CernetBoom  
       2019-08-04 21:08:04 +08:00 via Android
    @jousca 那你还说什么 BGP Hijack ? ICMP 和 TCP 的路由都不一样,ICMP 的路由是正常的好吗?

    所以 AS_PATH 呢?结果呢?
    jousca
        28
    jousca  
       2019-08-04 21:11:11 +08:00
    @CernetBoom 观察到了。TCP 异常,而且出问题的地方都在关键出口,看来我在 16 楼推测是对的,就是利用 GFW 设备的灰产。ICMP 反而正常。
    jousca
        29
    jousca  
       2019-08-04 21:16:48 +08:00
    确认了一遍。墙外正常,包括 HK 都正常,出问题都在墙内。
    jousca
        30
    jousca  
       2019-08-04 21:19:00 +08:00
    loukky
        31
    loukky  
       2019-08-04 21:25:48 +08:00
    bibiisme
        32
    bibiisme  
       2019-08-04 21:51:28 +08:00
    教育网下午还有劫持,刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳,这个劫持的手也伸得太长了
    https://s2.ax1x.com/2019/08/04/ecpyqA.png
    https://s2.ax1x.com/2019/08/04/ecpcVI.png
    Liqianyu
        33
    Liqianyu  
       2019-08-05 00:00:57 +08:00 via iPad
    北京联通、北京移动、上海阿里云、杭州阿里云复现。
    Liqianyu
        34
    Liqianyu  
       2019-08-05 00:04:00 +08:00 via iPad
    跟上一条
    通过 IPIP 可以判断大陆整体都有劫持。
    发链接会触发 V2EX 验证手机号要求。
    yexm0
        35
    yexm0  
       2019-08-05 00:25:11 +08:00
    @Liqianyu 去掉前面的 http 或者 https 就行
    smileawei
        36
    smileawei  
       2019-08-05 16:39:31 +08:00
    查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的
    smileawei
        37
    smileawei  
       2019-08-05 16:46:41 +08:00
    这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。
    smileawei
        38
    smileawei  
       2019-08-05 16:51:22 +08:00
    更正 37 楼的信息。
    该域名来自于 [email protected] 注册 。
    地址为:广州市白云区均禾街均禾大道 67 号
    Kowloon
        39
    Kowloon  
       2019-08-05 16:54:42 +08:00 via iPhone
    天津联通:复现。
    香港宽频:正常。
    Peanut666
        40
    Peanut666  
       2019-08-05 18:53:06 +08:00
    这么高级权限的劫持,该往哪个部门投诉?
    tinyzhang
        41
    tinyzhang  
       2019-08-06 14:17:43 +08:00
    @jousca
    @lzp7
    @Archeb
    @hlz0812

    请问大佬们, 这种劫持只对 http 有效吧
    https 的都会提示证书错误吧? 这次也劫持 https 了么
    Caussti
        42
    Caussti  
       2019-08-06 15:08:46 +08:00
    广州电信:复现
    香港联通:正常
    EdifierDrew
        43
    EdifierDrew  
       2019-08-06 22:07:29 +08:00 via iPhone
    中国移动 4G 网 ping ip:104.28.28.149
    ping 通线路走香港,延迟 84ms
    直接在浏览器打开 IP 就跳到了网站: http://0031001569.gzxnlk.com/
    txydhr
        44
    txydhr  
       2019-08-07 10:17:00 +08:00
    给纪....检写举报...信?
    WGzeyu
        45
    WGzeyu  
       2019-08-11 16:39:09 +08:00
    @Windelight 现在是 2019 年 8 月 11 日 16:38:23,河北电信、河北联通仍未恢复
    Windelight
        46
    Windelight  
       2019-08-11 19:28:57 +08:00 via Android
    我好像已经不能评论了
    Windelight
        47
    Windelight  
       2019-08-11 19:31:12 +08:00 via Android
    @WGzeyu 那天我发帖的时候还有一个注册天数问题,看来现在取消了

    河北联通 Bandboard 和河北移动 4G 仍未恢复
    Windelight
        48
    Windelight  
       2019-08-11 19:38:18 +08:00 via Android
    不过既然坑都留下了,能不填吗?
    我把那天编辑好的就发出来吧

    我又打开 Taob 无线端上的旺旺,找到 2 个月前花 5kuai9 买的 1 年 VIP 的天眼查 gongxiang 帐号,登录上去之后查到其公司邮箱为 zbhbtz 爱特 163 点 com,电话为 188 伍叁叁贰贰妖妖舞,剩下信息大家可以自己去公示网或者其它商业工具网站查,反正我不信他们可以实缴注册资本 500 万。
    接着挖,这个人名下还有别的公司,叫做 桓台县城区全顺通讯器材销售部 ,类型为个体工商户。这个 ziben3 万我感觉这倒有可能实缴了。这次电话变了,是 189 伍叁叁陆叁妖妖灵,至于经营范围什么的大家可以自己查。
    邮箱查询无果。
    手机号查询结果: 百姓网本地招收银员,天眼查、企 cha 查、启 xin 宝、顺企网、各种公司黄页网等等等等的介绍

    经过 SNS 查询,此人 koukou 号未知但上面写的是男 37 岁???? micro message 上写的是山东淄博男,就确定是你了!皮卡丘!不过好像没什么有用的信息。
    同样的还有 alipay,这次获取到了这个 old 男人 ei wei 画质的照片,经校验是于某某,照片啥样大家自己 alipay 搜,还是处女座。
    Windelight
        49
    Windelight  
       2019-08-11 19:47:06 +08:00 via Android
    目前更新一下,
    河北联通宽带和 4G 跳转为
    http 爱思://40010009 点 echatu 点 com
    移动 4G 跳转到
    http 艾斯://www 点 tt3sm4 点 cn 斜杠?signature=RUhTN3pKNHM0&num=1061
    不明白后边的 sig 是什么意思

    这个新的下载链接可特么长了
    htt 劈://111 点 47 点 203 点 233 斜杠 apk/lxxfgj/c/eyJkIjp7InNpZ25hdHVyZSI6IlJVaFROM3BLTkhNMCIsIm51bSI6IjEwNjAifSwibSI6IkJEQlB6eU1ub1V3QUFBRnNnSDE5bjlLeC1WRmdVVUlEOGxkSkRaZHlMNjJLby1TbzJoWmlINFMtWTVjQnJaNUtZVmxQYWRjYjQ4MkV4Si1WV2o2blpOTW1KNTNhaHY5cm9oVTBMNUU2M0VHU2NwVkdWbkpFQ0xJRFBRc3QzeGtBWU5HX1VUTXh5SC1LWFROcUNOTVh6SGVOWjNocVY1Z3EtRlIwRlpaaFJ6a0dRVGpzdHBOczYtYlV1RzFHaDRxcGZ4azlsSGI1Q1ViZXNOQ0xDek13UUpVaFl3SmFPMm5MNGNWb1JpUDc2bGMifQ 斜杠 com 点 menghuan 点 mhyl-v1.6.0 点 apk

    前边的 wanlongcaifu 没有变化

    另外 openinstall.io 这个网站不知道大家有没有人想投诉一下?
    jousca
        50
    jousca  
       2019-08-11 23:09:14 +08:00
    @tinyzhang 基于 TCP+IP 的劫持。证书都给你伪造好了的。
    Fangshing87
        51
    Fangshing87  
       2019-08-12 03:38:48 +08:00 via Android
    40010009 点 echatu 点 com
    辽宁沈阳联通已被劫持
    Silently
        52
    Silently  
       2019-08-12 10:43:21 +08:00 via iPhone
    广东联通 菠菜网
    墙外梦幻娱乐
    Archeb
        53
    Archeb  
    OP
       2019-08-12 12:40:54 +08:00
    @Silently

    广东广州联通 已恢复正常 Direct IP access not allowed、

    确认一下?
    Silently
        54
    Silently  
       2019-08-12 15:16:57 +08:00 via iPhone
    @Archeb 依旧梦幻娱乐 网址 http 艾思 www 点 tt3sm4 点 cn
    diguoemo
        55
    diguoemo  
       2019-08-13 12:49:12 +08:00 via Android
    四川联通 lte 还是被劫持
    laozhoubuluo
        56
    laozhoubuluo  
       2019-08-13 22:33:19 +08:00
    北京联通 宽带 TCP 仍然劫持
    劫持前上一跳:219.158.15.38/AS4837/广州联通

    北京移动 宽带 TCP 仍然劫持
    劫持前上三跳(后两跳禁 Ping,没办法):211.136.67.45/AS56048/北京移动
    mnihyc
        57
    mnihyc  
       2019-08-14 05:03:10 +08:00
    这太可怕了吧,刚刚测了一下确实 TCP 在出口倒二跳被劫持了

    @jousca 根据这里面截图的内容找到一个 CMS,http://smc.5vl58stm.com/smc1/www/,搜到是这个东西 http://211.151.32.20/ ,貌似是自主研发的,但是这里面不存在 getOneDomain.php ,所以目测上面那个是被挖到洞然后黑掉了。
    刚才大概看了一下似乎没有留下什么痕迹,毕竟没有源代码。
    jousca
        58
    jousca  
       2019-08-14 20:22:25 +08:00
    @mnihyc 那个文件在,注意大小写。http://smc.5vl58stm.com/smc1/www/getOneDomain.php
    mnihyc
        59
    mnihyc  
       2019-08-17 11:45:08 +08:00
    @jousca 我的意思是在 http://smc.5vl58stm.com/smc1/www 里找到的这个文件,但是使用同样 CMS 的看上去像官网 http://211.151.32.20/ ( http://www.515game.com ) 没有,再加上这两个网站都有一定概率在源代码的 head 标签后刷出加载 http://t.7gg.cc:88/j.js?MAC=747D245541A2 的 script 标签,说明是有很大可能是被黑了(个人推测)。
    Xusually
        60
    Xusually  
       2019-08-20 12:38:19 +08:00
    北京电信稳定复现
    chenyx9
        61
    chenyx9  
       2019-08-20 18:29:38 +08:00
    东莞联通,依然被劫持。
    dyy1997
        62
    dyy1997  
       2019-08-22 16:34:57 +08:00
    成都电信,跳转到 https:##www.jwhy520.com/3/200001/
    jy00566722
        63
    jy00566722  
       2020-02-13 12:59:40 +08:00
    四川广安电信,现在还在。不过中转 url 挂了,出现错误页面。
    jy00566722
        64
    jy00566722  
       2020-02-13 13:00:04 +08:00
    劫持域名的所有者:[email protected]
    ObserverLight
        65
    ObserverLight  
       2020-04-23 20:38:28 +08:00
    @Windelight https://info.umeng.com/detail?id=75&cateId=1
    流量劫持的问题,看过这篇友盟官方解释就可以明白了:这种问题既不是友盟的问题也不是 openinstall 的问题,而是发生在部分地区、部分运营商的“运营商”劫持。具体是不是运营商官方干的,我不敢说,但基本上可以肯定是运营商局端的网络路由被劫持了造成的。这种情况不应找友盟和 openinstall 解决,而是应该向运营商报障解决(如果是某些不良运营商所为的话,可以向工信部投诉这些运营商)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1313 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:54 · PVG 01:54 · LAX 09:54 · JFK 12:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.