艾普宽带会话劫持 tencentunion.com
习惯性的点收藏栏上网易新闻的图标,结果打开的却是这样一个页面,必须再点一次收藏栏图标或者采取任何一种再次发送HTTP请求163页面的行为才能正常进入网易新闻页面。我就这样被会话劫持了。
查看页面源文件,发现页面代码如下:
<script type="text/javascript">
var hostip = "www.tencentunion.com";
var desturl = "http://news.";
var julyid = "NTE2MzMxNi0xMzA2NTc5Mj************c1MDY0MTMw";
var augid = "110401102219.php";
var augid1 = augid+"?julyid="+julyid;
document.write("<iframe height=\"100%\" width=\"100%\" scrolling=\"yes\" frameborder=\"no\" allowTransparency=\"true\" src=\"http://"+hostip+":80/redirect7.php?desturl="+desturl+"&augid1="+augid1+"\"></iframe>");</script>
其中julyid经base64解码后为 5163316-1306579233-4275-******130,其中**星号部分为我的艾普帐号。测试几次后得到的其他几个字符串:
0696790-1306585591-6964-******130
6292615-1306586811-6964-******130
6205713-1306587308-6964-******130
9482515-1306589451-7880-******129
字符串包含4个用“-”连接的部分。第一部分猜不出是什么;第二部分是类unix系统的时间戳,转换后发现就是页面加载的时间;第三部分也不清楚是什么,这两天(包括同一天)先后几次的数值都不一样;第四部分就是上面说的,是用户的艾普账号,不过后面多了个130/129。
抓包一看,赤裸裸的会话劫持。在完成TCP三次握手后,本地机子发出了HTTP协议的GET请求。中间人迅速的回复了这个请求,并且FIN掉。
之后紧接着又收到一个RST。
同时测试了一下对不存在的域名的反应。发现ping任意一个不存在的地址,返回的是和www.tencentunion.com一样的IP,220.250.64.18。经查询为北京市联通。
这垃圾网站通过cnzz统计访问量。可以去这里留言,http://liuyan.cnzz.com/index.php?tid=2689384
解决方案?
更改DNS服务器只能解决不存在的域名的返回结果,对正常网站被劫持没有帮助。只能在hosts文件里把tencentunion.com 固定为127.0.0.1,眼不见心不烦。但是当被劫持时,还是需要再次发送HTTP请求才能进入正常的页面。
终极方案是一起打艾普的电话投诉,然后举报。艾普会话劫持算是有商业目的的,对互联网信息进行窃听与篡改。已经算是违法行为。在线举报投诉地址 http://www.cyberpolice.cn/alarm/pre_alarm.jsp (需要等10多秒才能同意) http://jubao.china.cn:8088/reportinputcommon.do
查了一下,这个IP上同时还有以下几个域名:
本文固定链接: https://offmask.com/2011/aipu-session-hijack-tencentunion.html | 向死而生