全球主机交流论坛

标题: 【干货】网站被强*奸弹窗罪魁祸首之路由器劫持 [打印本页]

作者: 过客 时间: 2012-8-5 09:02
标题: 【干货】网站被强*奸弹窗罪魁祸首之路由器劫持
本帖最后由过客于 2012-8-5 09:13 编辑

一般很多locer以及其他很多普通同学会遇到，明明打开的是淘宝去跳转到淘宝热卖加了pid，明明打开的是团购网站，右下角却有广告，最无耻的是打开一个普通论坛，还伪造论坛右下角弹出广告——论坛真的是躺着也中枪。

以前，类似被**的事情是因为使用了本地DNS服务器导致的，而如今当把dns改为国外的google dns或者open dns，居然还有类似情况，怎么回事呢？

近日，过客的一个论坛被被这种弹出广告强*奸得心烦了，分析了下，基本上确定了原因：

弹窗罪魁祸首便是从本机到目标服务器过程中的路由器，它劫持了我们的http请求，返回带广告iframe的页面。

本来想写一篇完整的文章，搜索了下网络发现已经有技术男写过了：
cnblogs.com/cmt/archive/2012/06/14/2548626.html

从时间上看，这类劫持应该是最近刚出现的，我擦。

解决方案：

找到弹出窗口引用的网址，把域名记录下来，直接扔进C:\Windows\System32\drivers\etc\hosts，如下：

127.0.0.1 e.banmamedia.com
127.0.0.1 b.17pps.com
127.0.0.1 www.84787111.com

看看这些网站的德行：
e.banmamedia.com ==>>117.79.93.37 ==>> 北京市网联光通技术有限公司
e.banmamedia.com ==>>118.26.225.39 ==>> 北京市森华易腾通信技术有限公司

b.17pps.com==>> 221.9.250.35 ==>> 吉林省联通

www.84787111.com ==>>59.39.31.26 ==>> 广东省佛山市电信ADSL
www.84787111.com ==>>59.39.31.34 ==>> 广东省佛山市电信ADSL

作者: 群英主机 时间: 2012-8-5 09:06
提示: 作者被禁止或删除内容自动屏蔽

作者: jumpsky 时间: 2012-8-5 09:06
我也是啊换了谷歌DNS也不管用弹出的都是电信的广告我都不知道为啥然后我去投诉了然后很麻烦然后我说我不投诉了别骚扰我了

作者: 过客 时间: 2012-8-5 09:12

群英主机发表于 2012-8-5 09:06
谢谢。收下了亲们ddcc的时间。

此时不为大众除害，更待何时。。。动手吧。骚年。

作者: geyunbing 时间: 2012-8-5 09:40
提示: 作者被禁止或删除内容自动屏蔽

作者: 单手摘月 时间: 2012-8-5 09:43
提示: 作者被禁止或删除内容自动屏蔽

作者: 360安全卫士 时间: 2012-8-5 09:46
你错了，这出现了至少有大半年，我经常遇到运营商劫持。

作者: 过客 时间: 2012-8-5 10:38

360安全卫士发表于 2012-8-5 09:46
你错了，这出现了至少有大半年，我经常遇到运营商劫持。

没办法，小地方，太落后了，被强*奸的时间也晚。。。

作者: wvidc 时间: 2012-8-5 10:40
打10000号从此清净

作者: 过客 时间: 2012-8-5 10:42

wvidc 发表于 2012-8-5 10:40
打10000号从此清净

流程复杂。。。

作者: kydtf 时间: 2012-8-5 10:53

貌似不复杂吧，直接吼，就说再劫持DNS就投诉到GXB，基本都会去除的啊

作者: 母‪鸡 时间: 2012-8-5 10:53
本机IP: 118.186.*.* 北京市
您查询的IP:118.186.*.*
本站主数据：北京市网联光通
e.banmamedia.com ==>>117.79.93.37 ==>> 北京市网联光通技术有限公司
网联光通技术有限公司 --- 蛋疼了

作者: 过客 时间: 2012-8-5 13:20

母‪鸡发表于 2012-8-5 10:53
本机IP: 118.186.*.* 北京市
您查询的IP:118.186.*.*
本站主数据：北京市网联光通

貌似很厉害的一家公司？

作者: 过客 时间: 2012-8-5 13:22

kydtf 发表于 2012-8-5 10:53
貌似不复杂吧，直接吼，就说再劫持DNS就投诉到GXB，基本都会去除的啊

关键跟谁吼。。。另外，关键不是DNS劫持，是本机到目标服务器中间的路由器劫持。。。到底是哪个节点，哪家单位管理的，都不知道。。。

作者: 母‪鸡 时间: 2012-8-5 13:26

过客发表于 2012-8-5 13:20
貌似很厉害的一家公司？

Um...网络带宽租赁公司。。

作者: ooodan 时间: 2012-8-5 13:44
哼哼。。这还好了。有的擦边站日几十万流量被劫持了有苦说不出啊哈~~~

作者: hzqim 时间: 2012-8-5 15:17
嗯，我这带宽每次访问不存在的网站就引导至一个导航网站，已经在路由器ban了。

作者: 过客 时间: 2012-8-5 16:40

hzqim 发表于 2012-8-5 15:17
嗯，我这带宽每次访问不存在的网站就引导至一个导航网站，已经在路由器ban了。 ...

如果是域名，你可以直接hosts里127.0.0.1

作者: ICFOX 时间: 2012-8-5 16:46
chinanet 无压力

作者: iyuheng 时间: 2012-8-5 16:47
羡慕，我也想劫持

作者: 疯狂 时间: 2012-8-5 17:15
DD CC他们吧！

作者: 过客 时间: 2012-8-5 17:41

疯狂发表于 2012-8-5 17:15
DD CC他们吧！

发现DDCC的时候，他们家依旧无压力，看得出来，带宽很给力。

钱也赚死了。

作者: hzqim 时间: 2012-8-6 10:12
本帖最后由 hzqim 于 2012-8-6 10:13 编辑

过客发表于 2012-8-5 16:40
如果是域名，你可以直接hosts里127.0.0.1

不是域名，是IP地址。

这些域名指向127.0.0.1之后弹窗应该还在吧，只不过是空白。

作者: 过客 时间: 2012-8-6 10:37

hzqim 发表于 2012-8-6 10:12
不是域名，是IP地址。

这些域名指向127.0.0.1之后弹窗应该还在吧，只不过是空白。 ...

域名指向127.0.0.1弹窗依旧，不过是空白了。治标不治本。。。

作者: hzqim 时间: 2012-8-6 10:51

过客发表于 2012-8-6 10:37
域名指向127.0.0.1弹窗依旧，不过是空白了。治标不治本。。。

firefox 安装adblock。

作者: 454309099 时间: 2012-8-6 11:18

hzqim 发表于 2012-8-6 10:51
firefox 安装adblock。

chrome 也有而且是ABP

作者: hzqim 时间: 2012-8-6 11:40

454309099 发表于 2012-8-6 11:18
chrome 也有而且是ABP

没有用chrome的原因是chrome的代理插件没有ff的好用，个人喜好ff下的autoproxy。

作者: 454309099 时间: 2012-8-6 11:45

hzqim 发表于 2012-8-6 11:40
没有用chrome的原因是chrome的代理插件没有ff的好用，个人喜好ff下的autoproxy。 ...

用习惯了就好..Firefox 的界面东西太多了

作者: 母‪鸡 时间: 2012-8-6 21:50
再一次证明了电信无所不能，上到修改脚本，下到监控数据。前后300年无人能敌。。。

如果电信有内鬼，修改了paypal和alipay的收款方。。。。。。。。。。。。。。。。。。。。。

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)