V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
miyuki
V2EX  ›  全球工单系统

京东的"内鬼级"劫持

  miyuki · 2018-11-26 00:42:20 +08:00 · 49863 次点击
这是一个创建于 2188 天前的主题,其中的信息可能已经有所发展或是发生改变。
curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"

第一次返回

<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>

再请求一次返回

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>

  • 只在 http 会起作用
  • 只识别 UA Windows
  • 结合相关讨论可知覆盖范围为西南地区
第 1 条附言  ·  2018-11-26 02:19:04 +08:00
任意地区(国内外)皆可复现
第 2 条附言  ·  2018-11-26 10:09:51 +08:00
不排除这台节点的出口被人做了无差别劫持的可能

如果是公司故意覆盖其他推广,也会误杀少数正当京东联盟的广告主收入,而且只有这一台节点(只发现了这一个)可用,似乎说不过去。
第 3 条附言  ·  2018-11-26 12:36:03 +08:00

抓包结果中恶意的 200 响应是抢答内容

tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
第 4 条附言  ·  2018-11-27 10:35:19 +08:00

水落石出 #385 @JDSecOffical

感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。

410 条回复    2018-11-28 21:49:36 +08:00
1  2  3  4  5  
tatelucky
    101
tatelucky  
   2018-11-26 09:48:16 +08:00
@liuyanjun0826 都是拿钱做事的,你为什么这么秀?
hheng101
    102
hheng101  
   2018-11-26 09:48:24 +08:00
如果是私人搞的,那真的早就财务自由了
yd1044738303
    103
yd1044738303  
   2018-11-26 09:48:30 +08:00
搜了下 Wy6RM7,还不少相关的帖子
yejinmo
    104
yejinmo  
   2018-11-26 09:49:10 +08:00
新加坡,没有
goodryb
    105
goodryb  
   2018-11-26 09:49:12 +08:00


复现成功 0571 电信
TomVista
    106
TomVista  
   2018-11-26 09:49:40 +08:00
双十一那天赚了多少啊```
xiaqi
    107
xiaqi  
   2018-11-26 09:49:43 +08:00 via Android
aws 美区成功复现
Halry
    108
Halry  
   2018-11-26 09:50:30 +08:00 via Android
@ken863103 跳转到破解 idm 的帖子了
yukiww233
    109
yukiww233  
   2018-11-26 09:51:45 +08:00
Wy6RM7 一搜,已经持续几个月,按这个流量估计当事人早就捞够跑路了
hexor
    110
hexor  
   2018-11-26 09:52:11 +08:00   ❤️ 1
lizhenda
    111
lizhenda  
   2018-11-26 09:52:44 +08:00
内鬼这么猖獗?
ruimz
    112
ruimz  
   2018-11-26 09:52:51 +08:00 via Android   ❤️ 1
从楼上都能看出来,不少人都有惯性思维了,习惯性运营商背锅。怪不得有人敢这么动手脚
atz
    113
atz  
   2018-11-26 09:53:19 +08:00
看戏 mark
yukiww233
    114
yukiww233  
   2018-11-26 09:53:40 +08:00
@icebreaker #71 想了想也是那么回事
tsui
    115
tsui  
   2018-11-26 09:53:51 +08:00 via iPhone
用了下家里的 Comcast,依然是 Wy6RM7
这个劫持牛逼了
Joyboo
    116
Joyboo  
   2018-11-26 09:56:32 +08:00
留名
98jiang
    117
98jiang  
   2018-11-26 09:56:48 +08:00
想看后续。。
meik2333
    118
meik2333  
   2018-11-26 09:58:35 +08:00
北京联通,成功复现
hws8033856
    119
hws8033856  
   2018-11-26 10:00:45 +08:00
如果真是内鬼,这个鬼起码是已经渗透到高层了,肯定需要先搞定整条财务流程才可能把钱提出来。
但是如果是这个级别的内鬼,还需要这种小伎俩?
skylancer
    120
skylancer  
   2018-11-26 10:01:02 +08:00
MITM 了解一下?
什么事都甩到人家身上说是内鬼真的好么?
coderscala
    121
coderscala  
   2018-11-26 10:01:10 +08:00
持续关注
Arrowing
    122
Arrowing  
   2018-11-26 10:01:54 +08:00
之前家里访问京东的 http 就会一直这样,有毒。
lanceb1uy
    123
lanceb1uy  
   2018-11-26 10:02:27 +08:00
香港 GIGSGIGSCLOUD 成功复现
zephyru
    124
zephyru  
   2018-11-26 10:02:34 +08:00
我这没有复现..
阿里云和杭州电信..
改了改 UA 也没出现
allen9527
    125
allen9527  
   2018-11-26 10:03:24 +08:00
复现成功,mark 看后续。
py2ex
    126
py2ex  
   2018-11-26 10:04:08 +08:00
strive
    127
strive  
   2018-11-26 10:05:14 +08:00
heimeil
    128
heimeil  
   2018-11-26 10:05:41 +08:00
@icebreaker 想想也不会啊,自己内部做手脚不就没人能知道了吧,搞了一道跳转,现在让人发现了不也是很傻吗
ericgui
    129
ericgui  
   2018-11-26 10:06:27 +08:00
圣地亚哥人民发来贺电:

[![微信截图_20181125180521.png]( https://i.loli.net/2018/11/26/5bfb55079b1f6.png)]( https://i.loli.net/2018/11/26/5bfb55079b1f6.png)
mydns
    130
mydns  
   2018-11-26 10:07:19 +08:00
东哥不在家,就可以乱来吗
jiujiuKA
    131
jiujiuKA  
   2018-11-26 10:07:39 +08:00
wow 我还跟京东联盟发邮件讲说遇到了运营商劫持,没想到是内鬼
fffflyfish
    132
fffflyfish  
   2018-11-26 10:08:08 +08:00
mark,要火,看戏
ruimz
    133
ruimz  
   2018-11-26 10:08:26 +08:00 via Android
@skylancer 全球都能复现,你这个 in middle 的 man 有点厉害哈
ccnccy
    134
ccnccy  
   2018-11-26 10:09:40 +08:00 via iPhone   ❤️ 1
京东自己干的吧
京东又不是傻子
要不账号早干掉了
你们推广的再厉害,我自己劫持,
替换掉你的链接,帮它免费推广
NotNil1
    135
NotNil1  
   2018-11-26 10:14:06 +08:00
@ccnccy 有可能,但是这也太坑人了啊。
skylancer
    136
skylancer  
   2018-11-26 10:14:18 +08:00
@ruimz 你大概也是不知道运营商干这事也不少了
skadi
    137
skadi  
   2018-11-26 10:17:47 +08:00
whois 查出的东西不知道真假.
netname: CHINANET-SC
descr: CHINANET Sichuan province network
descr: Data Communication Division
descr: China Telecom
notify: [email protected]
person: Xiaodong Shi
nic-hdl: XS16-AP
e-mail: [email protected]
address: No.72,Wen Miao Qian Str.
address: Data Communication Bureau Of Sichuan Province
address: Chengdu
address: PR China
phone: +86-28-6190785
fax-no: +86-28-6190641

china telecom???
aino
    138
aino  
   2018-11-26 10:18:03 +08:00
坐等明天新闻
shuangmu
    139
shuangmu  
   2018-11-26 10:20:25 +08:00 via iPhone
复现
strive
    140
strive  
   2018-11-26 10:21:28 +08:00
@strive 放图是要加标签吗
strive
    141
strive  
   2018-11-26 10:22:30 +08:00
zyp0921
    142
zyp0921  
   2018-11-26 10:23:22 +08:00
还是可以复现耶,换了个谷歌版本就能复现了 , 有内鬼吗?这是 我擦勒
zepto
    143
zepto  
   2018-11-26 10:25:17 +08:00

0571 电信已经复现
november
    144
november  
   2018-11-26 10:25:52 +08:00   ❤️ 2
复现成功。

感觉这个帖子会消失。

参考前些天的,关于 JD 第三方出售 macbook 展示机即将被起诉的那个帖子。
chen26
    145
chen26  
   2018-11-26 10:26:30 +08:00
求科普。。这么做的利益。。。
yzkcy
    146
yzkcy  
   2018-11-26 10:26:43 +08:00   ❤️ 1
@skylancer 国外的也一样复现成功,还运营商呢?你不看帖就回的?
tyhunter
    147
tyhunter  
   2018-11-26 10:30:31 +08:00
美国 加利福尼亚 成功复现
wildcat007
    148
wildcat007  
   2018-11-26 10:30:54 +08:00
mark
yiqiao
    149
yiqiao  
   2018-11-26 10:31:39 +08:00
@chen26 你在京东购买的东西,他会有一部分提成。
dozer47528
    150
dozer47528  
   2018-11-26 10:31:56 +08:00
上海电信成功复现
DylanZ
    151
DylanZ  
   2018-11-26 10:32:27 +08:00
@november 对对,我还收藏了都不见了,后续结果怎么样?
xemtof
    152
xemtof  
   2018-11-26 10:36:14 +08:00
上海电信成功复现
zaqzaq0125
    153
zaqzaq0125  
   2018-11-26 10:36:55 +08:00
mark,等后续。
HSvng
    154
HSvng  
   2018-11-26 10:37:00 +08:00
持续关注。
cuixiao603
    155
cuixiao603  
   2018-11-26 10:39:10 +08:00
mark
goofool
    156
goofool  
   2018-11-26 10:39:41 +08:00
我觉得也不一定是内鬼吧,也有可能服务器被劫持了
111111111111
    157
111111111111  
   2018-11-26 10:40:17 +08:00 via Android
海外复现,不过需要改改 UA 头
ruimz
    158
ruimz  
   2018-11-26 10:41:03 +08:00 via Android
@skylancer 如果可以的话,愿闻其详。确实没见过直接访问不劫持,换一个解析到西南地区的 IP 访问就劫持的情况
564425833
    159
564425833  
   2018-11-26 10:42:21 +08:00
大新闻
xxlong
    160
xxlong  
   2018-11-26 10:45:52 +08:00
后排看戏了
3s6i2o
    161
3s6i2o  
   2018-11-26 10:47:36 +08:00
等看后续吧
love060701
    162
love060701  
   2018-11-26 10:52:00 +08:00
厉害了。这得赚多少钱。
pkoukk
    163
pkoukk  
   2018-11-26 10:53:58 +08:00
mark,这个瓜可不小
youyaang
    164
youyaang  
   2018-11-26 10:54:17 +08:00
后排看戏
hinate
    165
hinate  
   2018-11-26 10:54:21 +08:00
会有 jd 的人内部调查吗...
JRay
    166
JRay  
   2018-11-26 10:57:29 +08:00
这..就是表示所有请求那个域名的都被劫持了?
chen26
    167
chen26  
   2018-11-26 10:57:52 +08:00
@yiqiao 谢谢大佬科普。。。。。
jacklin96
    168
jacklin96  
   2018-11-26 10:58:58 +08:00
这个 UA 已经封掉了 把 UA 删的只剩 Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 时成功复现
77alex
    169
77alex  
   2018-11-26 10:59:38 +08:00
这个劫持厉害了,at 大佬出来处理掉这个推广账号吧
Hoegl
    170
Hoegl  
   2018-11-26 11:01:49 +08:00
US, California 成功复现。
irgil
    171
irgil  
   2018-11-26 11:02:15 +08:00
捞这么多,会被抓住吗?
deadEgg
    172
deadEgg  
   2018-11-26 11:03:19 +08:00
深入了解一下,好像是运营商搞的鬼?
bayker
    173
bayker  
   2018-11-26 11:03:24 +08:00
看戏,持续关注,
Hoegl
    174
Hoegl  
   2018-11-26 11:03:29 +08:00
广州电信也成功复现。
goofool
    175
goofool  
   2018-11-26 11:03:42 +08:00
@ruimz 也有可能服务器的 IP 被劫持了
skylancer
    176
skylancer  
   2018-11-26 11:05:57 +08:00
@yzkcy 用点脑子
toou123
    177
toou123  
   2018-11-26 11:07:19 +08:00
mark,这也太……
enenaaa
    178
enenaaa  
   2018-11-26 11:08:16 +08:00
太嚣张了, 不把东哥放眼里啊
sobigfish
    179
sobigfish  
   2018-11-26 11:10:15 +08:00
我也就这个投诉过电信,也给 jd 的写过 email
我一直以为是成都电信的锅
对比试过电信宽带,电信移动数据,都有跳转和不正常的数据包 和 ack
联通移动数据下(其他相同,设备、浏览器、系统)就没有异常。
houskii
    180
houskii  
   2018-11-26 11:11:43 +08:00
北京联通,成功复现
ScottAlone
    181
ScottAlone  
   2018-11-26 11:11:57 +08:00
如果非内部人员的话,推广可能产生的巨额奖励要如何提现呢..
enjoyCoding
    182
enjoyCoding  
   2018-11-26 11:13:03 +08:00 via iPhone
杭州电信 没问题 浏览器输入 http 默认跳到 https 网络协议。
sobigfish
    183
sobigfish  
   2018-11-26 11:14:49 +08:00
@yzkcy #146 你国外复现也是指定了服务器 IP,国外 dns 不大可能指到那个服务器,而电信 ISP 指向那个服务器不是很可能么?
pofycn
    184
pofycn  
   2018-11-26 11:16:00 +08:00
@goodryb ZSH 主题是啥
assiadamo
    185
assiadamo  
   2018-11-26 11:18:24 +08:00
厉害了
nicebird
    186
nicebird  
   2018-11-26 11:19:08 +08:00
mark
LiHaiWordGe
    187
LiHaiWordGe  
   2018-11-26 11:19:32 +08:00
啧啧啧 好猛,收入可观啊
sunorg
    188
sunorg  
   2018-11-26 11:19:43 +08:00
goodryb
    189
goodryb  
   2018-11-26 11:21:16 +08:00
@pofycn #183 robbyrussell
pkoukk
    190
pkoukk  
   2018-11-26 11:26:51 +08:00
@sobigfish 所以你的意思是电信在京东不知情的情况下劫持了京东的服务器?
sobigfish
    191
sobigfish  
   2018-11-26 11:27:03 +08:00
这个服务器很可能是电信的一个 cdn,选择性的偶尔返回带 cps “错误”的首页的包 (不是普通 http 的回复,是比正常包早到)


这个是我电信投诉时的抓包 (怕被电信查到报复,涂了我的 IP )

andyL
    192
andyL  
   2018-11-26 11:27:36 +08:00
好像是有大戏上演,后排关注先
huangzhe8263
    193
huangzhe8263  
   2018-11-26 11:29:40 +08:00


国内国外均已复现

默默吃瓜
Dreamerwwr
    194
Dreamerwwr  
   2018-11-26 11:30:05 +08:00 via iPhone
这个很利益,关注。
stop9125
    195
stop9125  
   2018-11-26 11:30:10 +08:00
万一有封口费呢
ranxfan
    196
ranxfan  
   2018-11-26 11:30:24 +08:00
围观......
memorycancel
    197
memorycancel  
   2018-11-26 11:31:45 +08:00
吃枣💊
pkoukk
    198
pkoukk  
   2018-11-26 11:32:20 +08:00
terrytw
    199
terrytw  
   2018-11-26 11:35:16 +08:00
最早 8 月份就有了!这家伙至少赚了几百万吧

https://www.52pojie.cn/forum.php?mod=viewthread&tid=782828
2L
terrytw
    200
terrytw  
   2018-11-26 11:36:20 +08:00
1  2  3  4  5  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3342 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 00:05 · PVG 08:05 · LAX 16:05 · JFK 19:05
Developed with CodeLauncher
♥ Do have faith in what you're doing.