首先这件事 cnBeta.com 存在可疑点,后面有分析。
今天公司市场同事反映: http://www.cnbeta.com/articles/533005.htm 这个新闻,现在一打开会自动跳转到 360 导航。
想起了今年 4 月份在公司也遇到这类情况,做过一点分析,以为是偶发。过后就没怎么关注(用网页上 cnBeta.com 比较少)。
涉及测试数据表、截图,详情看这里: https://yryz.net/post/isp-dns-hijack-cnbeta.html
在公司电信企业网会被电信存在DNS 劫持的情况(注意:无论你用的是不是电信的 DNS),这个先不说,但其中有一点搞不明白, cnBeta.com 为什么要包含一段不能被解析,但看起来又极像 Google 广告的 iframe src="http://static.googles.com/adserver/adlogger_tracker.php"
有人清楚这是什么情况吗
 |
1
xingo Aug 28, 2016
cnbeta 这边不是 dns 劫持吧,这是 tcp 劫持嵌入了脚本使前端跳转,然后 dns 的话电信的网家庭的默认也会劫持,这个 dns 应该是可以投诉的(如果自行改 dns 也不行的话)
包含 google 广告这个,我怀疑是本来这边要自己也嵌入个广告,然后现在这个页面改成了跳转逻辑,所以以前的广告部分忘记删除了?我最近是发现自己的家用宽带已经在广告白名单了,然后还是会被嵌入广告,嵌入的广告是 google 的那种,隐蔽的不行,让你以为是电信本身的广告,然后在看源码的时候发现还嫁祸给中国移动。。。 劫持的那种网站反而是那种技术型的,而不是以前那种京东啊一号店这样的 https://ooo.0o0.ooo/2016/08/28/57c23c1b71311.png |
 |
3
yryz OP @xingo googles.com 不是 Google 的,至于是不是 TCP 劫持就不清楚了,我测试多个地方都一样,怀疑源服务器上就是包含这段代码。这个只有 cnBeta 那边人才能确认。
|
 |
5
sxm Aug 29, 2016
我 5 月份用手机浏览 cnbeta 就发现这个问题,表现形式就是文章页面跳转到软色情页面,然后下载 apk 。我在电脑上查看了下文章页面源代码,发现了是个隐藏 iframe 加载 http://static.googles.com/adserver/adlogger_tracker.php 这个页面引起了,查看广告文件发现是针对移动设备来跳转的,而且不仔细看还以为是谷歌的广告,实际是个假冒。后续查询和 googles.cn 这个站都是一个厦门公司所有。后来发了封 Email 给 cnbeta 向他提了这个问题,可惜到现在那个页面还是有这段隐藏广告 iframe
|
Select Language