首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
V2EX  ›  宽带症候群

CloudFlare IP 再次被 TCP 劫持

  •  2
     
  •   Archeb · 126 天前 · 7799 次点击
    这是一个创建于 126 天前的主题,其中的信息可能已经有所发展或是发生改变。
    受影响 IP 为 104.28.28.149 ,正常打开应该是 Direct IP access not allowed,被劫持了会跳转到菠菜网站

    症状同两个月前的
    https://www.v2ex.com/t/572057
    https://www.v2ex.com/t/572031
    第 1 条附言  ·  117 天前
    广州联通、南京联通、山东联通已恢复

    根据 TCP Traceroute 结果来看,这次大概可能属于公墙私用(
    62 回复  |  直到 2019-08-22 16:34:57 +08:00
        1
    dot2017   126 天前
    哦吼 这就很*了,骨干网的内鬼么
        2
    yexm0   126 天前
    TCP: i.v2ex.co/6Ly78uDG.jpeg
    ICMP: i.v2ex.co/p8WfYBwY.png
    广东电信这是缺钱花了?
        3
    yexm0   126 天前
    @yexm0 fix:去掉广东
        4
    CernetBoom   126 天前 via Android
    @yexm0 不止电信,联通移动 连科技网都是这样
        5
    well666   125 天前 via iPhone
        6
    mytsing520   125 天前
    上午 10 点,杭州电信测试已经恢复。
        7
    Peanut666   125 天前
    四川电信,劫持依然存在
        8
    mytsing520   125 天前
    上午 10 点 05,杭州电信测试恢复劫持。
        9
    lp10   125 天前
    2019-08-04 10:45 UTC+8
    同 IP 无代理,mac Safari 访问正常,新 Edge 跳转菠菜

    哈???
        10
    Windelight   125 天前 via Android   ♥ 3
    10 点 12 分,河北联通、河北移动仍未恢复

    另外有趣的是河北联通跳转到一个 0031001569 点 res 点 websd8 点 com 的网站,河北移动跳转到 40010009 点 echatu 点 com 的网站

    前者安装包叫 com.game.ddz-v1.0.0.5.apk ,后者叫 cf0728_channel_9.apk

    前者下载地址是
    app-eslz3u 点 openinstall 点 io/install/c/eyJkIjp7InNwcmVhZGVyIjoiMDAzMTAwMTU2OSJ9LCJtIjoiZnFJcGZ4ZDNpajRBQUFGc1dtVDBLUnNVTnVLWXU2VTRuNlNVcUlhVm1WVkVYUFAxRlNUc1h4S1dlUEE4X0NIelFmSSJ9
    后边的地址是 apk 点 wanlongcaifu 点 com/v60/cf0728_channel_9 点 apk
    经过查看,后者下载地址竟然还特么带 https??

    沃特玛现骗子还这么高级??
    经过百度和必应查询,之前本以为就是附近的固安万隆财富广场,结果一查不是,百度和必应复合结果如下
    1.某些 seo 查询网站留下的一堆无意义历史记录
    包括 70dir 点 com,chinaz 点 com,都是搜索引擎对这些网站的历史记录所留下的缓存
    2.在 21CN 门户聚投诉下面一个 id 为 CN1012987 的投诉,大致意思是有人被微信上的推销读博 app,然后被骗钱,重点来了,那个 app 叫超飞娱乐,地址是 40011126 点 wanlongcaifu 点 com,后者页面完全一致!!!
    3.还有一个更大的包,就是在必应上查到了某不知名的网址导航提供了公司名 地址是 zibo 点 26595 点 com/daohang/967086.html 那个公司叫做 淄博晖博投资有限公司

    好了,收集到了以上信息,当然那个网址导航的信息真实性可疑,但是也要从别的地方入手了

    首先我赶快下载了一个 Chrome Mobile,把原网址换成 40011126 那个,然后加上 https,好了 get 到了 https 证书,非常遗憾这特么用的是 Let's Encrypt,假设他们要是能用 EV SSL 的话那我不就........
    当然这个不存在了,下面就只能信一下那个网址导航了。
    下面打开天眼查,输入该公司名称,真的查到了,法代叫做 于修强,该公司真的有一个备案叫做 淄博晖博投资有限公司万隆财富 的网站,地址同,备案号是 鲁 ICP 备 16020641 号,经工信部网站验证确定该备案主体-1 的备案号就是这个网站,然后直接打开就是最开始后者的页面
    这个公司是 2015 年 11 月 12 日成立,备案是 2016 年 6 月 6 日


    未完待续.............

    (上述域名请自动补齐 http/https 协议头和点)
        11
    dahounet   125 天前 via Android
    有人在骨干网(或者是某墙)上面搞劫持?
        12
    jousca   125 天前
    四川移动刚才测试也是劫持依然存在
        13
    scnace   125 天前 via Android
    浙江电信没挂代理跳转到 https://40010009.echatu.com/
        14
    lzp7   125 天前 via Android
    山东移动稳定复现
        15
    lzp7   125 天前 via Android
    劫持地址和上面几楼不太一样
    http://0031001569.gzxnlk.com/
        16
    jousca   125 天前   ♥ 1
    @dahounet 灰色产业,在过滤设备上劫持某些非国内网站跳自己黑产上。内外勾结或者职务之便。知道对方和客户都无法投诉举证。
        17
    jousca   125 天前
    @lzp7 用 HTTPS 就到你这个,不用 HTTPS 就到 4001 开头那个。HTTPS 的时候浏览器会提示证书不可信
        18
    derekwei   125 天前
    投诉给电信就给我我回了句“我们工程师没有检查到类似问题”,还要我提供访问网站的网址。
        19
    loukky   125 天前
        20
    BlitheHusky   125 天前 via Android
    江苏电信稳定复现。
    一开始拿手机发现正常,再看看是走了代理。😂😂😂
        21
    ZRS   125 天前
    稳定复现
        22
    ochatokori   125 天前 via Android
    广州移动 4g 复现
        23
    jousca   125 天前
    感觉这个方式就是典型的 BGP 劫持
        24
    CernetBoom   125 天前 via Android
    @jousca 哈? BGP Hijack 你 ICMP 还能通?
        25
    jousca   125 天前
        26
    jousca   125 天前
    @CernetBoom ICMP 包发出去和返回难道不遵循 BGP 路由??
        27
    CernetBoom   125 天前 via Android
    @jousca 那你还说什么 BGP Hijack ? ICMP 和 TCP 的路由都不一样,ICMP 的路由是正常的好吗?

    所以 AS_PATH 呢?结果呢?
        28
    jousca   125 天前
    @CernetBoom 观察到了。TCP 异常,而且出问题的地方都在关键出口,看来我在 16 楼推测是对的,就是利用 GFW 设备的灰产。ICMP 反而正常。
        29
    jousca   125 天前
    确认了一遍。墙外正常,包括 HK 都正常,出问题都在墙内。
        30
    jousca   125 天前
        31
    loukky   125 天前
        32
    bibiisme   125 天前
    教育网下午还有劫持,刚刚测了下劫持没有了。出问题的地方是在出国前倒数第二跳,这个劫持的手也伸得太长了
    https://s2.ax1x.com/2019/08/04/ecpyqA.png
    https://s2.ax1x.com/2019/08/04/ecpcVI.png
        33
    Liqianyu   125 天前 via iPad
    北京联通、北京移动、上海阿里云、杭州阿里云复现。
        34
    Liqianyu   125 天前 via iPad
    跟上一条
    通过 IPIP 可以判断大陆整体都有劫持。
    发链接会触发 V2EX 验证手机号要求。
        35
    yexm0   125 天前
    @Liqianyu 去掉前面的 http 或者 https 就行
        36
    smileawei   124 天前
    查了几个。这些域名竟然还都是备案过的。估计域名也是盗取的
        37
    smileawei   124 天前
    这些域名都有 CNAME 到 nbgslb.com 这个域名是阿里云的全球负载均衡的域名。挺舍得投入呀。
        38
    smileawei   124 天前
    更正 37 楼的信息。
    该域名来自于 [email protected] 注册 。
    地址为:广州市白云区均禾街均禾大道 67 号
        39
    Kowloon   124 天前 via iPhone
    天津联通:复现。
    香港宽频:正常。
        40
    Peanut666   124 天前
    这么高级权限的劫持,该往哪个部门投诉?
        41
    tinyzhang   123 天前
    @jousca
    @lzp7
    @Archeb
    @hlz0812

    请问大佬们, 这种劫持只对 http 有效吧
    https 的都会提示证书错误吧? 这次也劫持 https 了么
        42
    Caussti   123 天前
    广州电信:复现
    香港联通:正常
        43
    EdifierDrew   123 天前 via iPhone
    中国移动 4G 网 ping ip:104.28.28.149
    ping 通线路走香港,延迟 84ms
    直接在浏览器打开 IP 就跳到了网站: http://0031001569.gzxnlk.com/
        44
    txydhr   122 天前
    给纪....检写举报...信?
        45
    WGzeyu   118 天前
    @Windelight 现在是 2019 年 8 月 11 日 16:38:23,河北电信、河北联通仍未恢复
        46
    Windelight   118 天前 via Android
    我好像已经不能评论了
        47
    Windelight   118 天前 via Android
    @WGzeyu 那天我发帖的时候还有一个注册天数问题,看来现在取消了

    河北联通 Bandboard 和河北移动 4G 仍未恢复
        48
    Windelight   118 天前 via Android
    不过既然坑都留下了,能不填吗?
    我把那天编辑好的就发出来吧

    我又打开 Taob 无线端上的旺旺,找到 2 个月前花 5kuai9 买的 1 年 VIP 的天眼查 gongxiang 帐号,登录上去之后查到其公司邮箱为 zbhbtz 爱特 163 点 com,电话为 188 伍叁叁贰贰妖妖舞,剩下信息大家可以自己去公示网或者其它商业工具网站查,反正我不信他们可以实缴注册资本 500 万。
    接着挖,这个人名下还有别的公司,叫做 桓台县城区全顺通讯器材销售部 ,类型为个体工商户。这个 ziben3 万我感觉这倒有可能实缴了。这次电话变了,是 189 伍叁叁陆叁妖妖灵,至于经营范围什么的大家可以自己查。
    邮箱查询无果。
    手机号查询结果: 百姓网本地招收银员,天眼查、企 cha 查、启 xin 宝、顺企网、各种公司黄页网等等等等的介绍

    经过 SNS 查询,此人 koukou 号未知但上面写的是男 37 岁???? micro message 上写的是山东淄博男,就确定是你了!皮卡丘!不过好像没什么有用的信息。
    同样的还有 alipay,这次获取到了这个 old 男人 ei wei 画质的照片,经校验是于某某,照片啥样大家自己 alipay 搜,还是处女座。
        49
    Windelight   118 天前 via Android
    目前更新一下,
    河北联通宽带和 4G 跳转为
    http 爱思://40010009 点 echatu 点 com
    移动 4G 跳转到
    http 艾斯://www 点 tt3sm4 点 cn 斜杠?signature=RUhTN3pKNHM0&num=1061
    不明白后边的 sig 是什么意思

    这个新的下载链接可特么长了
    htt 劈://111 点 47 点 203 点 233 斜杠 apk/lxxfgj/c/eyJkIjp7InNpZ25hdHVyZSI6IlJVaFROM3BLTkhNMCIsIm51bSI6IjEwNjAifSwibSI6IkJEQlB6eU1ub1V3QUFBRnNnSDE5bjlLeC1WRmdVVUlEOGxkSkRaZHlMNjJLby1TbzJoWmlINFMtWTVjQnJaNUtZVmxQYWRjYjQ4MkV4Si1WV2o2blpOTW1KNTNhaHY5cm9oVTBMNUU2M0VHU2NwVkdWbkpFQ0xJRFBRc3QzeGtBWU5HX1VUTXh5SC1LWFROcUNOTVh6SGVOWjNocVY1Z3EtRlIwRlpaaFJ6a0dRVGpzdHBOczYtYlV1RzFHaDRxcGZ4azlsSGI1Q1ViZXNOQ0xDek13UUpVaFl3SmFPMm5MNGNWb1JpUDc2bGMifQ 斜杠 com 点 menghuan 点 mhyl-v1.6.0 点 apk

    前边的 wanlongcaifu 没有变化

    另外 openinstall.io 这个网站不知道大家有没有人想投诉一下?
        50
    jousca   118 天前
    @tinyzhang 基于 TCP+IP 的劫持。证书都给你伪造好了的。
        51
    Fangshing87   118 天前 via Android
    40010009 点 echatu 点 com
    辽宁沈阳联通已被劫持
        52
    Silently   117 天前 via iPhone
    广东联通 菠菜网
    墙外梦幻娱乐
        53
    Archeb   117 天前
    @Silently

    广东广州联通 已恢复正常 Direct IP access not allowed、

    确认一下?
        54
    Silently   117 天前 via iPhone
    @Archeb 依旧梦幻娱乐 网址 http 艾思 www 点 tt3sm4 点 cn
        55
    diguoemo   116 天前 via Android
    四川联通 lte 还是被劫持
        56
    laozhoubuluo   116 天前
    北京联通 宽带 TCP 仍然劫持
    劫持前上一跳:219.158.15.38/AS4837/广州联通

    北京移动 宽带 TCP 仍然劫持
    劫持前上三跳(后两跳禁 Ping,没办法):211.136.67.45/AS56048/北京移动
        57
    mnihyc   116 天前
    这太可怕了吧,刚刚测了一下确实 TCP 在出口倒二跳被劫持了

    @jousca 根据这里面截图的内容找到一个 CMS,http://smc.5vl58stm.com/smc1/www/,搜到是这个东西 http://211.151.32.20/ ,貌似是自主研发的,但是这里面不存在 getOneDomain.php ,所以目测上面那个是被挖到洞然后黑掉了。
    刚才大概看了一下似乎没有留下什么痕迹,毕竟没有源代码。
        58
    jousca   115 天前
    @mnihyc 那个文件在,注意大小写。http://smc.5vl58stm.com/smc1/www/getOneDomain.php
        59
    mnihyc   112 天前
    @jousca 我的意思是在 http://smc.5vl58stm.com/smc1/www 里找到的这个文件,但是使用同样 CMS 的看上去像官网 http://211.151.32.20/ ( http://www.515game.com ) 没有,再加上这两个网站都有一定概率在源代码的 head 标签后刷出加载 http://t.7gg.cc:88/j.js?MAC=747D245541A2 的 script 标签,说明是有很大可能是被黑了(个人推测)。
        60
    Xusually   109 天前
    北京电信稳定复现
        61
    chenyx9   109 天前
    东莞联通,依然被劫持。
        62
    dyy1997   107 天前
    成都电信,跳转到 https:##www.jwhy520.com/3/200001/
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   876 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 31ms · UTC 22:42 · PVG 06:42 · LAX 14:42 · JFK 17:42
    ♥ Do have faith in what you're doing.