找回密码
 立即注册
搜索
查看: 5321|回复: 43

[软件] 这种情况是服务商插入广告还是系统内安插了广告程序?

[复制链接]
头像被屏蔽
     
发表于 2016-7-22 10:50 | 显示全部楼层 |阅读模式
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
发表于 2016-7-22 11:20 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 11:23 | 显示全部楼层
打电话到运营商投诉
回复

使用道具 举报

     
发表于 2016-7-22 11:34 | 显示全部楼层
直接打电话到运营商,如果死鸭子嘴硬就威胁区工信部网站投诉,这样比较好使
回复

使用道具 举报

     
发表于 2016-7-22 11:36 | 显示全部楼层
按F12,找到网络选项卡(FF和IE都叫这个,chrome不知道……)
刷新页面,观察信息……一般应该有一个状态编号302的信息,是把网站地址重新指向一个广告提供商。

具体细节可以参考我的这个帖子……http://bbs.saraba1st.com/2b/thread-1248679-1-1.html
我的情况现在已经解决……花了1个多月去各方投诉……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 11:44 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 11:57 | 显示全部楼层
不是DNS劫持,是HTTP劫持,你的现象应该跟我的问题是完全一致的。

另外google的DNS在墙内早就被污染了……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 12:13 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 17:11 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 20:57 | 显示全部楼层
wowow 发表于 2016-7-22 17:11
不行。还是会跳。而且过一段时间会自动消失……
这样要怎么抓啊?

跟你说了你不听,F12找302跳转,火狐浏览器的F12可以看到跳转指令的来源IP……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 21:06 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 21:19 | 显示全部楼层
wowow 发表于 2016-7-22 21:06
我上S1是opera12.14,火狐是挂了插件上汤不热专用(截图工具太好用)。
谷歌是视频用。
现在的情况就是, ...

停用本地DNS导致广告锐减只不过是假象。这种劫持智能性很高,有时是次次弹,有时完全不弹,我最后也没100%抓到规律。

不过只要你找准发送你302跳转的服务器,一般对应域名是网页的静态地址,IP是这个地址的CDN服务器之一,然后cmd下nslookup,输入静态地址看一共分配了多少服务器,找出那个本体。然后Hosts文件内把这个静态地址解析到本体应该就能100%搞定。别忘了清DNS缓存。
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 21:20 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 21:21 | 显示全部楼层
我也是啊,看5楼要折腾一个月,我都懒得投诉了
回复

使用道具 举报

     
发表于 2016-7-22 21:22 | 显示全部楼层
wowow 发表于 2016-7-22 21:20
好吧。我还是转用火狐抓广告抓一段时间。

再提示你一个……

这种劫持,劫持到你也可能不跳广告的。

最准确的就是看302跳转。
回复

使用道具 举报

     
发表于 2016-7-22 21:32 | 显示全部楼层
endrollex 发表于 2016-7-22 21:21
我也是啊,看5楼要折腾一个月,我都懒得投诉了

主要是找对投诉的方向。我最后是一边拿着CDN机房IP找联通要求机房负责人直接跟我对话,另一边找到CDN管理的网宿公司后台直接告知其租用的机房有内鬼。

内鬼虽然没找到,但估计因为我投诉针对性强,广告从有来源域名~到变IP~到只劫持不弹出~到最后完全消失。

有了这次经验,如果再出现,我有信心直接找对投诉点。



不过我上次那个广告玩的很大,最后我测试出现劫持的具有规模的网站有:B站,sina博客,163主页,苏宁易购主页,汽车之家主页,CCTV主页……因为网宿是个大CDN商,很多网站用这家的,分配到那个问题机房的大网站基本上都被我摸出来了
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 21:36 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 21:48 | 显示全部楼层
wowow 发表于 2016-7-22 21:36
查到了一点。
但是,状态码不是302,是200。
唯一的302,网址是S1自己的。

没错,就是那个S1自己的地址。
广告是google匹配的,你查那个一点意义都没有。

把302那条的消息头贴上来看看。
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-22 22:00 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-22 22:49 | 显示全部楼层
本帖最后由 mazhen8u8 于 2016-7-22 23:24 编辑

http://ens.endsp.net/pjk/mdk/a_m ... 3-9ddc-dd72ef955f2a

http://120.132.63.203/pjk/pag/ys ... WR4L3Nob3dfYWRzLmpz

这两个才是真正的广告连接。搜索“ens.endsp.net 劫持”关键字可以找到其他例子。
看起来是请求http://static.linkvans.com/js/adx/show_ads.js这个脚本时的服务器出现问题。
在火狐开F12时,选中一条消息注意看右侧消息头那里有个远程地址的IP,就是那个IP有问题。


然而……我上S1怎么没有加载这个脚本……




查了一下,endsp.net这个域名就是之前找我麻烦的那个leturich.org,估计是改头换面继续做恶了……手法则是一模一样。个人认为他们赚钱方式就是自己注册google推广ID,然后收买一些CDN机房一线员工,将自己的广告劫持到经过机房的所有网站,利用他人网站流量赚取巨额收益。

为了不让事情太明显,他们在劫持的时候顺便会植入cookies,已达成随机弹广告的效果。加上很多网站CDN机房不止一家,用户不一定上一个网站都经过他的机房,致使广告弹出随机性更强。甚至可以猜想到他的推广原则中肯定针对短时间大量刷新有特殊规则,给用户、运营商的排查造成困难。


直接用防火墙墙掉endsp.net这个广告推广源也不好用,因为劫持是发生在CDN机房,他把你推向广告源结果返回404,就导致你的页面加载失败,多刷新几次才能正常显示,对于客户使用还是造成影响(虽然看不到广告了)。客户端这边最有效的自我防御方式,就是将被劫持的域名解析指向其他cdn机房……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 07:07 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 10:50 | 显示全部楼层
wowow 发表于 2016-7-23 07:07
那怎么搞定?怎么把机房抓出来?还是直接打电话给宽带商?

你先看看为啥会有http://static.linkvans.com/js/adx/show_ads.js这玩意吧。我这里上S1并不会刷出这东西……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 14:14 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 14:28 | 显示全部楼层
本帖最后由 mazhen8u8 于 2016-7-23 14:35 编辑

一条条分析数据包呗……没别的办法



我擦不对,我才发现你贴的东西是反的……你贴的都是302的请求头……

你得贴响应头……

算了你就用FF把F12里选中消息后右边那个请求网址和远程地址贴给我就行了……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 18:41 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 18:48 | 显示全部楼层
wowow 发表于 2016-7-23 18:41
刚刚才能碰电脑
刷到出广告。
抓到2个302响应头应该怎么抓?

第一条没事,是正常的。

第二条是问题关键,阿里的CDN出问题了……
不过很奇怪,你这个IP是美国的……你啥网络环境……

嘛,不过问题不大,你可以cmd-》nslookup回车,然后g.alicdn.com回车,看看addresses都有哪些……挑个看起来不同段的IP放到hosts里面试试……
实在不行……在hosts里面把g.alicdn.com指向125.39.199.40……这个IP是天津联通的……速度估计不会快,但应该保证没广告了……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 18:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 19:00 | 显示全部楼层
本帖最后由 mazhen8u8 于 2016-7-23 19:14 编辑
wowow 发表于 2016-7-23 18:50
我……DNS用的是openDNS……208.67.222.222
nslookup的结果
address:208.67.222.222

你这个命令用错了拉……

C:\Users\user>nslookup g.alicdn.com 208.67.220.220
服务器:  resolver2.opendns.com
Address:  208.67.220.220

非权威应答:
名称:    g.alicdn.com.danuoyi.alicdn.com
Addresses:  202.47.28.112
          202.47.28.120
          47.89.66.240
          47.89.66.232
Aliases:  g.alicdn.com


无所谓了,你这个走那么远居然还会被劫持,估计是不知道你网络出口的哪个节点出问题了,大概不是最终地。临时的解决办法就是,先把在hosts里面把g.alicdn.com地址解析到125.39.135.242、 125.39.199.40、125.39.199.50、 125.39.135.243其中之一吧,设好了ipconfig /flushdns一下,清缓存上论坛试试还有没有广告,估计有比较大概率没有了。

如果不幸还有……或者说你想去根儿……那就下个Wireshark吧……直接筛一下跟这个问题IP之间的一切数据包,分析一下TTL值,再TRACERT一下问题IP,看看路由跳转情况,有条件再自己写几个假包确定下劫持者具体位置……详细的可以参考这个文章https://security.tencent.com/index.php/blog/msg/81

当然,投诉运营商当然是可以的,但是,目前看你这个广告跟我遇到的以及网络上其他人遇到的一样,不是运营商主动搞鬼的,他们也需要进行排查才有可能发现问题所在,所以……别太指望他们就是了……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 19:05 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 19:17 | 显示全部楼层
wowow 发表于 2016-7-23 19:05
C:\Users\user>nslookup g.alicdn.com 208.67.222.222
服务器:  resolver1.opendns.com
Address:  208.6 ...

先按我上面说的改HOSTS吧。或者你用8.8.8.8测试下有啥IP可以用
回复

使用道具 举报

头像被屏蔽
     
发表于 2016-7-23 19:43 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 19:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 21:14 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 21:27 | 显示全部楼层
本帖最后由 mazhen8u8 于 2016-7-23 21:29 编辑
wowow 发表于 2016-7-23 21:14
不行。失败了。
请求网址:http://g.alicdn.com/sd/ncpc/nc.js?t=20160401
远程地址:125.39.135.242:80 ...

噗,那你tracert一下这几个IP好了……125的和47的都测一下,看看到哪一跳为止都是一样的……

话说你跳广告只有s1么……其他网站有没有……多测试一些门户……

以防万一,你把302的这条截个图给我……看看是不是真是这条的问题……
回复

使用道具 举报

     
发表于 2016-7-23 21:27 | 显示全部楼层
304代码是缓存,很正常……你清掉浏览器缓存就没了……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 22:32 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2016-7-23 22:36 | 显示全部楼层
wowow 发表于 2016-7-23 22:32
我明天用手提接网线用用。
如果手提电脑不弹广告,我就把台式机的系统倒档倒回2月份试试。
怀疑是盗版软件 ...

唉,你愿意测就测吧。我一开始也怀疑了不少软件。

如果你手里有移动或者电信的4G手机,搭个热点测一下就知道了是网络问题还是软件问题了……
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 22:38 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-23 22:38 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
 楼主| 发表于 2016-7-24 18:25 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2025-8-21 19:50 , Processed in 0.318498 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表