V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
miyuki
V2EX  ›  全球工单系统

京东的"内鬼级"劫持

  miyuki · 2018-11-26 00:42:20 +08:00 · 49861 次点击
这是一个创建于 2188 天前的主题,其中的信息可能已经有所发展或是发生改变。
curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"

第一次返回

<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>

再请求一次返回

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>

  • 只在 http 会起作用
  • 只识别 UA Windows
  • 结合相关讨论可知覆盖范围为西南地区
第 1 条附言  ·  2018-11-26 02:19:04 +08:00
任意地区(国内外)皆可复现
第 2 条附言  ·  2018-11-26 10:09:51 +08:00
不排除这台节点的出口被人做了无差别劫持的可能

如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
第 3 条附言  ·  2018-11-26 12:36:03 +08:00

抓包结果中恶意的 200 响应是抢答内容

tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
第 4 条附言  ·  2018-11-27 10:35:19 +08:00

水落石出 #385 @JDSecOffical

感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。

410 条回复    2018-11-28 21:49:36 +08:00
1  2  3  4  5  
gy6221
    1
gy6221  
   2018-11-26 01:22:25 +08:00
这看起来更像是运营商干的
ysc3839
    2
ysc3839  
   2018-11-26 01:24:45 +08:00 via Android
“只在 http 会起作用”就无法排除中间人攻击的可能性了。
miyuki
    3
miyuki  
OP
   2018-11-26 01:32:39 +08:00 via Android
@gy6221

可以在任何一台机器上(国内国外)验证

这个是京东的 CDN 节点,而且 https 访问一下会抛出 *.jd.com 的证书
miyuki
    4
miyuki  
OP
   2018-11-26 01:34:09 +08:00 via Android
@ysc3839

的确无法排除,虽然能在任何地方的机器上复现
zbinlin
    5
zbinlin  
   2018-11-26 02:07:18 +08:00
查了下:

```
whois 182.131.4.1
```

有个 `Data Communication Bureau Of Sichuan Province` 地址,然后百度了下,有惊喜 /dog
jimchen9999
    6
jimchen9999  
   2018-11-26 02:41:46 +08:00
英国伦敦 成功复现
sutra
    7
sutra  
   2018-11-26 03:04:25 +08:00
182.131.4.1 Data Communication Bureau Of Sichuan Province 然后你懂的
sutra
    8
sutra  
   2018-11-26 03:07:49 +08:00
你换成别的 IP,比如 curl -v http://61.174.55.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" 就挺干净。
mytsing520
    9
mytsing520  
   2018-11-26 04:50:27 +08:00
Google Cloud 香港,复现
liuyanjun0826
    10
liuyanjun0826  
   2018-11-26 04:57:03 +08:00
login as: root
[email protected]'s password:
Linux vultr.guest 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat Nov 24 09:54:43 2018 from 112.246.226.63
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
root@vultr:~#

New Jersey Vultr
ericbize
    11
ericbize  
   2018-11-26 04:59:24 +08:00 via iPhone
@liuyanjun0826 ip 暴露了
line 2
liuyanjun0826
    12
liuyanjun0826  
   2018-11-26 05:02:26 +08:00
@ericbize 对阿,就是为了验证是 New Jersey Vultr,有什么问题?
liuyanjun0826
    13
liuyanjun0826  
   2018-11-26 05:10:43 +08:00
利益相关,京东员工,警告楼主不要造谣
zbinlin
    14
zbinlin  
   2018-11-26 05:26:15 +08:00   ❤️ 7
@liuyanjun0826 hehe,这个 UA 被“你们”加入白名单了吧。切实,直接用这个 UA 已经无法复现了,不过,随便改下 UA 里的字符,例如改下 chrome 的版本号,就可以重新重现了。

PS:这个帖子可能已经被有心人“看到了”
liuyanjun0826
    15
liuyanjun0826  
   2018-11-26 05:34:10 +08:00
@zbinlin 与我联系,我来处理
johnnie502
    16
johnnie502  
   2018-11-26 06:03:48 +08:00
美国 comcast 还是能复现
mytsing520
    17
mytsing520  
   2018-11-26 06:23:31 +08:00

Google Cloud 台湾彰化截图
这一来呢还来了两次。。

顺带把截图保存时间也放上来,免得被说成是 PS:


有些人呢是真的不识好人心。。
Sweden
    18
Sweden  
   2018-11-26 06:23:59 +08:00 via Android
欧洲 telenet 成功复现
lihongming
    19
lihongming  
   2018-11-26 06:33:18 +08:00 via iPhone
人在加拿大,现在仍可复现 @刘强东
Suzutan
    20
Suzutan  
   2018-11-26 07:41:00 +08:00 via Android
![Screenshot_20181126-073854.png]( https://i.loli.net/2018/11/26/5bfb32b7325cd.png)

四川电信 复现

![Screenshot_20181126-073822.png]( https://i.loli.net/2018/11/26/5bfb32b735e46.png)

美国洛杉矶,美国 Choopa,复现
sdshdv
    21
sdshdv  
   2018-11-26 08:13:21 +08:00 via Android
这可算是搞出大新闻了
7654
    22
7654  
   2018-11-26 08:21:46 +08:00
@liuyanjun0826 #13 wy6rm7 是哪个渠道能说说吗,不是一般人哇
qianmeng
    23
qianmeng  
   2018-11-26 08:21:58 +08:00 via Android
现在老板消停了,下面的人就活跃起来了,我这里没看到,估计不是目标地区
rayhy
    24
rayhy  
   2018-11-26 08:22:20 +08:00 via Android
😑谁能帮忙解释下这是啥意思吗。。不太懂唉
sutra
    25
sutra  
   2018-11-26 08:27:41 +08:00
@qianmeng 我这边现在也不能复线了。几分钟前还能复现的。
v2chou
    26
v2chou  
   2018-11-26 08:31:44 +08:00
这 大佬 大佬 推广都不用了 直接收入
sutra
    27
sutra  
   2018-11-26 08:35:24 +08:00
@sutra @qianmeng 刚刚换了个 VPS 测试了一下,还可以复现。
cnkuner
    28
cnkuner  
   2018-11-26 08:42:24 +08:00 via Android
大家估计一下每天收入能到什么量级,我感觉一天等于一年工资妥妥的。
gimp
    29
gimp  
   2018-11-26 08:45:27 +08:00
哈尔滨移动复现成功
halouha
    30
halouha  
   2018-11-26 08:48:03 +08:00
香港复现成功
bmos
    31
bmos  
   2018-11-26 08:48:44 +08:00   ❤️ 5
@rayhy union.*是京东推广链接,通过这个链接购买的人,京东会给推广人结算提成。相当于你要去超市,我在路上偷偷把你劫持,贴一个标签,说是我带来的人,你买东西后,超市根据你买的商品给我结算一定百分比的提成。
CasperLee
    32
CasperLee  
   2018-11-26 08:49:12 +08:00
进来一脸懵,出去一脸懵,有没有大佬给说说这是什么的?
reus
    33
reus  
   2018-11-26 08:54:01 +08:00
运营商劫持也是有可能的,http 可以篡改
bxb100
    34
bxb100  
   2018-11-26 08:54:19 +08:00
@CasperLee #32 CPS , 返利链接
cnkuner
    35
cnkuner  
   2018-11-26 08:56:58 +08:00 via Android
@CasperLee 一般来说运营商劫持不会有这么广的范围,从目前复现的情况看,更可能是狗东内部在部署的时候做了手脚。不过也有其他的可能性。
ScotGu
    36
ScotGu  
   2018-11-26 09:02:04 +08:00
刚搞了个美国 VPS,复现达成~

对比起,某些人“警告” LZ 的言论我没憋住~
就算不是 JD 正式员工,这种 IDC 级别的劫持能过返利系统的风控?
Zeonjl
    37
Zeonjl  
   2018-11-26 09:05:49 +08:00 via iPhone
真这样 jd 惠报警抓人吗?
junweivan
    38
junweivan  
   2018-11-26 09:06:18 +08:00 via Android
堂而皇之薅公司的羊毛,说明京东 IT 部门管理不行
fhefh
    39
fhefh  
   2018-11-26 09:07:29 +08:00   ❤️ 1
美国复现

leido
    40
leido  
   2018-11-26 09:08:39 +08:00 via Android
玛德狗东,真以为四川人看不懂么
vertion
    41
vertion  
   2018-11-26 09:09:52 +08:00
广州,香港,及东京均可复现
C2G
    42
C2G  
   2018-11-26 09:10:04 +08:00 via Android
@reus 全球劫持就不好说了
hyshuang2006
    43
hyshuang2006  
   2018-11-26 09:11:02 +08:00
谁去微博 @ 京东,就可以把事情弄大啦!
JmmBite
    44
JmmBite  
   2018-11-26 09:11:37 +08:00
http://127.0.0.1/?cdn=hisnum
Osk
    45
Osk  
   2018-11-26 09:15:34 +08:00 via Android
联通网络手机 4G 热点无法复现,
电信网络从今年我换宽带后就这样,http 会被加小尾巴。

Windows 10 平台,切换网络时运行了 ipconfig /flushdns,隐身模式访问 jd.com ,先测试联通,直接跳转到 https://www.jd.com ,中间怎么跳的不知道,但最终访问的地址是干净的。然后换到电信网络,关闭窗口,flushdns,首次访问非 http 100%跳转到 https 的 union 地址。

我换宽带后电信就是这样的,之前我还想去工信部投诉电信。
Osk
    46
Osk  
   2018-11-26 09:16:17 +08:00 via Android
信置:四川联通,四川电信
ohmyzsh
    47
ohmyzsh  
   2018-11-26 09:16:20 +08:00 via Android   ❤️ 9
利益相关,"警告楼主"?!

MDZZ
justff
    48
justff  
   2018-11-26 09:16:56 +08:00   ❤️ 11
@liuyanjun0826 这就是你们京东的做事态度?警告发现问题的人?
Rorysky
    49
Rorysky  
   2018-11-26 09:18:11 +08:00 via iPhone
@liuyanjun0826 赶紧去发个微博,@ 你们大佬
Osk
    50
Osk  
   2018-11-26 09:18:25 +08:00 via Android
@justff 哈哈,可能真和 jd 没关系,但是这简直是黑公关了🤣🤣🤣
lll4m
    51
lll4m  
   2018-11-26 09:18:28 +08:00
这个问题大概半年前我就有见过,在广州。不过对本人购物没有影响就无视了
FakeLeung
    52
FakeLeung  
   2018-11-26 09:18:38 +08:00
广东电信复现成功,bwg 凤凰城 vps 复现不成功:


这一天的收入极其可观啊。
Rorysky
    53
Rorysky  
   2018-11-26 09:18:51 +08:00 via iPhone   ❤️ 3
@ohmyzsh 拿工资拿成精神大股东了
zhuxinyu
    54
zhuxinyu  
   2018-11-26 09:19:12 +08:00
利益相关?
dangge
    55
dangge  
   2018-11-26 09:20:42 +08:00
https://lianjie.jd.com/

虽然不知道管不管。。。
xiaoyangsa
    56
xiaoyangsa  
   2018-11-26 09:20:44 +08:00
zr8657
    57
zr8657  
   2018-11-26 09:21:24 +08:00
@liuyanjun0826 可以,这很京东
snw
    58
snw  
   2018-11-26 09:21:51 +08:00 via Android
猜测是 CDN 所在地的 ISP 劫持的。一个十多年前的帖子:
https://bbs.tianya.cn/m/post-284-52975-1.shtml
maroon5
    59
maroon5  
   2018-11-26 09:22:00 +08:00
还真是能复现
ohmyzsh
    60
ohmyzsh  
   2018-11-26 09:23:25 +08:00 via Android   ❤️ 20
@Rorysky 他说的"利益相关",是指他是"内鬼"之一?
asd123456cxz
    61
asd123456cxz  
   2018-11-26 09:24:51 +08:00
请问各位大佬这个。。是怎么发现的?感觉好厉害
yorks
    62
yorks  
   2018-11-26 09:25:08 +08:00
https://i.loli.net/2018/11/26/5bfb4aca1412c.png 嗯,有 ua 有 Windows,ua 的其他字眼随便改改第一次肯定能中。看上去是对 windows 的 ua 做了 hash。
digimoon
    63
digimoon  
   2018-11-26 09:25:48 +08:00
成功复现,不知道这是什么时候开始的,一天能赚多少呢?
123s
    64
123s  
   2018-11-26 09:26:26 +08:00
可怕
o0
    65
o0  
   2018-11-26 09:27:07 +08:00
感觉闹得挺火的,看来这个账户别想结算了。
wibile
    66
wibile  
   2018-11-26 09:27:23 +08:00
大新闻啊,我还以为只是运营商的小伎俩。。。。厉害了!!!!
Mysqto
    67
Mysqto  
   2018-11-26 09:27:25 +08:00
换个 UA 本地电信、瓦工 HK、LA 和 GCP HK、TW 以及 azure 和 AWS 均能复现
cncaihua
    68
cncaihua  
   2018-11-26 09:28:21 +08:00
这贴要留名吧,虽然我啥也看不懂。
mohoumk2
    69
mohoumk2  
   2018-11-26 09:28:37 +08:00 via Android
警告楼主的怕不是就是劫持的人
xdeng
    70
xdeng  
   2018-11-26 09:28:45 +08:00
3 台 vps 轻轻松松复现
icebreaker
    71
icebreaker  
   2018-11-26 09:29:03 +08:00 via Android   ❤️ 6
猜测是公司自己搞得,可以覆盖别家的推广链接。不然那么多钱能领出来吗?领几百万的财务不会核实流量来源吗,都不是傻子。
Xiaomage2333
    72
Xiaomage2333  
   2018-11-26 09:29:17 +08:00 via Android
vultr 日本东京,复现成功~
18601294989
    73
18601294989  
   2018-11-26 09:29:51 +08:00
Wy6RM7 这个人赚翻了吧
goofool
    74
goofool  
   2018-11-26 09:30:24 +08:00
8 月份有人在路由器论坛提过
http://koolshare.cn/thread-145660-1-1.html
jackkate815
    75
jackkate815  
   2018-11-26 09:30:38 +08:00 via iPhone
关注.......
YakuMioto
    76
YakuMioto  
   2018-11-26 09:32:40 +08:00
Mark.
exkernel
    77
exkernel  
   2018-11-26 09:33:01 +08:00
持续关注
shanlan
    78
shanlan  
   2018-11-26 09:33:18 +08:00
阿里云

cncaihua
    79
cncaihua  
   2018-11-26 09:35:20 +08:00
坐等分钱
tatelucky
    80
tatelucky  
   2018-11-26 09:35:51 +08:00
杭州 复现成功
SimbaPeng
    81
SimbaPeng  
   2018-11-26 09:35:59 +08:00
6 阿
zdd2389
    82
zdd2389  
   2018-11-26 09:36:15 +08:00
nb
mawenjian
    83
mawenjian  
   2018-11-26 09:36:47 +08:00 via iPhone
如果不能解决问题,就解决发现问题的人。没错,这很“利益相关”。
amew
    84
amew  
   2018-11-26 09:37:10 +08:00
多地址复现,6666
DAPTX4869
    85
DAPTX4869  
   2018-11-26 09:37:32 +08:00
广州 虚拟机瞧了下没有
jingyulong
    86
jingyulong  
   2018-11-26 09:38:21 +08:00
好像 很厉害的样子
pepesii
    87
pepesii  
   2018-11-26 09:39:25 +08:00
成都电信复现
taozi00
    88
taozi00  
   2018-11-26 09:40:43 +08:00
完全没错啊,真的是利益相关,哈哈哈哈
ranleng
    89
ranleng  
   2018-11-26 09:40:59 +08:00 via Android
啧啧啧。
SKull4
    90
SKull4  
   2018-11-26 09:41:18 +08:00
有了 Wy6RM7 这个标示是不是就能查出是谁了
hheng101
    91
hheng101  
   2018-11-26 09:41:21 +08:00
太魔幻了吧。总觉得不可思议
mikewoo
    92
mikewoo  
   2018-11-26 09:42:32 +08:00
那个号称员工还警告楼主的,这是什么神操作啊
7654
    93
7654  
   2018-11-26 09:42:45 +08:00
@icebreaker #71 脑洞可以啊
lonccc
    94
lonccc  
   2018-11-26 09:42:48 +08:00
北京教育网+凤凰城 复现成功

https://i.loli.net/2018/11/26/5bfb4f227c914.png
hezhile
    95
hezhile  
   2018-11-26 09:43:35 +08:00
广州移动 貌似没有
ikaros
    96
ikaros  
   2018-11-26 09:44:36 +08:00
我也记得至少半年前就有了,不过当时是直接浏览器输的网址
ken863103
    97
ken863103  
   2018-11-26 09:46:50 +08:00   ❤️ 1
hellojay
    98
hellojay  
   2018-11-26 09:47:04 +08:00
可能是京东为了检测流量设置的
就像你直接输入 z.cn 跳转到 https://www.amazon.cn/ref=z_cn?tag=zcn0e-23
smallQ
    99
smallQ  
   2018-11-26 09:47:19 +08:00
吃瓜看戏
cai314494687
    100
cai314494687  
   2018-11-26 09:47:27 +08:00
深圳复现
1  2  3  4  5  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1076 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 54ms · UTC 19:03 · PVG 03:03 · LAX 11:03 · JFK 14:03
Developed with CodeLauncher
♥ Do have faith in what you're doing.