艾普宽带会话劫持 tencentunion.com

习惯性的点收藏栏上网易新闻的图标,结果打开的却是这样一个页面,必须再点一次收藏栏图标或者采取任何一种再次发送HTTP请求163页面的行为才能正常进入网易新闻页面。我就这样被会话劫持了。

tencentunion 艾普

查看页面源文件,发现页面代码如下:

<script type="text/javascript">
var hostip  = "www.tencentunion.com";
var desturl = "http://news.";
var julyid  = "NTE2MzMxNi0xMzA2NTc5Mj************c1MDY0MTMw";
var augid   = "110401102219.php";
var augid1  = augid+"?julyid="+julyid;
document.write("<iframe height=\"100%\" width=\"100%\" scrolling=\"yes\" frameborder=\"no\"  allowTransparency=\"true\" src=\"http://"+hostip+":80/redirect7.php?desturl="+desturl+"&augid1="+augid1+"\"></iframe>");</script>

其中julyid经base64解码后为 5163316-1306579233-4275-******130,其中**星号部分为我的艾普帐号。测试几次后得到的其他几个字符串:
0696790-1306585591-6964-******130
6292615-1306586811-6964-******130
6205713-1306587308-6964-******130
9482515-1306589451-7880-******129

字符串包含4个用“-”连接的部分。第一部分猜不出是什么;第二部分是类unix系统的时间戳,转换后发现就是页面加载的时间;第三部分也不清楚是什么,这两天(包括同一天)先后几次的数值都不一样;第四部分就是上面说的,是用户的艾普账号,不过后面多了个130/129。

抓包一看,赤裸裸的会话劫持。在完成TCP三次握手后,本地机子发出了HTTP协议的GET请求。中间人迅速的回复了这个请求,并且FIN掉。


man in the middle reply

之后紧接着又收到一个RST。

同时测试了一下对不存在的域名的反应。发现ping任意一个不存在的地址,返回的是和www.tencentunion.com一样的IP,220.250.64.18。经查询为北京市联通。

dns

这垃圾网站通过cnzz统计访问量。可以去这里留言,http://liuyan.cnzz.com/index.php?tid=2689384

解决方案?
更改DNS服务器只能解决不存在的域名的返回结果,对正常网站被劫持没有帮助。只能在hosts文件里把tencentunion.com  固定为127.0.0.1,眼不见心不烦。但是当被劫持时,还是需要再次发送HTTP请求才能进入正常的页面。

终极方案是一起打艾普的电话投诉,然后举报。艾普会话劫持算是有商业目的的,对互联网信息进行窃听与篡改。已经算是违法行为。在线举报投诉地址 http://www.cyberpolice.cn/alarm/pre_alarm.jsp (需要等10多秒才能同意)   http://jubao.china.cn:8088/reportinputcommon.do

查了一下,这个IP上同时还有以下几个域名:

本文固定链接: http://offmask.com/2011/aipu-session-hijack-tencentunion.html | 向死而生

该日志由 Matt Sun 于2011年05月29日发表在 心情随笔 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 艾普宽带会话劫持 tencentunion.com | 向死而生
关键字: tencentunion, 会话劫持, 艾普宽带

艾普宽带会话劫持 tencentunion.com:等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter