电信劫持 http 会话又升级了，不仅仅是弹出广告了。

同广西电信，没出现

定位到目标网址就好办，进 hosts 文件修改恶意域名指向本机。
如：
127.0.0.1 p.haolew.com

我怎么觉得是你的的 Chrome Extension 出问题了呢

Microsoft Edge ：啥？恶意网站？哦，都在沙盒里面呢。

@KexyBiscuit 然而密码已经被人偷走了

火狐开启那个恶意网址功能也没有提示？他用的不也是谷歌数据库么。

有一套过滤设备，可以设置为访问指定 url 时替换内容。浏览器请求“ p.haolew.com:7777 ”，是因为你请求的 JS 文件的内容已经被替换了，因为文件下载可能比较快，这个设备会再请求一次保证源 JS 能下载成功

@yyfearth
我已经把扩展全删了，而且我又在虚拟机里面安装了新系统，新装 chrome ，也出现相同问题。

@xuan880
直接用火狐访问 http://p.haolew.com:7777/ 是有提示的

@rwzsycwan
我在网上还看到也有人说
http://www.postsila.com/thread-288355-1-1.html
http://bbs.itzmx.com/forum.php?mod=viewthread&tid=9410

@cxbig
已经打 10000 号投诉了，电信网上投诉也发了，可电信说没查到，还说是我电脑问题或者浏览器问题。

看到很多人之前有类似情况，准备再等两天，如果电信不给解决，就投诉到工信部去。

像之前只是右下角有弹窗，至少我还能浏览网页，忍忍就算了。现在完全是影响浏览网页了。

@eirk2004
是啊，我访问好多网站，都是 jquery 的 js 被替换。

@chinaglwo 除了找电信你没有任何办法的，上官网找在线客服，把抓包的截图发给他，告诉他已经获取了关键证据，如果不能解决就投诉工信部，电信就会督促承包商把劫持暂时关掉，当然过滤依旧存在。抓包截图要包含，劫持发生时的 ReTransmission 、根据“ follow tcp stream ”找到的劫持内容、伪造的数据包的 TTL 值，分两个图发给客服

114dns 路过

说的好像 Chrome 没有沙盒一样的

全局走 vpn 的时代快来了。。

@eirk2004 找客服没用 都听不懂你在说什么

@chinaglwo 额 出现了

@rwzsycwan 我这是实战经验。投诉也要用一点技巧，毕竟客服都是外包的。

对于良心未泯的 ISP 打电话就行了，客服肯定知道有个推送系统，会帮你关掉；
其他 ISP ，首先你要用客服能明白的东西去描述你的问题，然后发送截图，告知你已掌握关键证据（这个证据非常重要），然后要求找工程师或者上级领导。等他们回电时，必须要有对方承认（或者默认）推送系统的相关对话，一般两次投诉就能解决问题。
以上未能解决，或者装傻不承认，凭你手中证据，去工信部投诉。 15 天未解决再次投诉。

以上经验仅限于电信、联通。如果对方来电，通话全程录音，言语逻辑清晰，态度坚决，不辱骂对方。

@rwzsycwan
你这个还好，至少不是提示恶意网页。

我今天中午把光猫重启了，到现在还没出现问题。不知道是电信那边关掉了推送，还是说因为我一直在线，没变过 ip ，所以他们可以控制给我推送？

反正也说明不是我电脑的问题了。

妈蛋挟持我家 CDN,已黑，已提交乌云
http://www.wooyun.org/bugs/wooyun-2010-0146501/trace/881b2bea8d4d3aa842e0be00426f360e

@chinaglwo 在我看来投诉没有用，你喊贼抓贼？人家利益相关。
最好的办法就是发现了干掉域名，加载不了就不会造成更大破坏。

@cxbig
我打算投诉到工信部试试。

现在晚上又开始被劫持了。

发个图看看

@cxbig
你说的方法没用

再一次提现了我国强大的开发能力以及对技术的锲而不舍的追求精神

@chinaglwo 修改 Hosts 之后你清理了 Chrome 的缓存了没有？

浙江电信表示:就这玩意有啥新奇的 我们都玩了这个 2015 年了..

tcp 劫持 js 文件 然后重新引入这个 js 后面加个"?" 如果这个 JS 是页面关键 JS 直接就异常了 比如秒拍等站点的自动播放就靠 JS 实现的 被劫持后就 Goodbye 了...这个东西你 127 也只能屏蔽广告没法阻挡劫持导致的页面异常..

说说投诉的经历吧.

2014 年 11 月 开始出现 iframe 方式劫持 1W 投诉 各种路由器是不是有问题 电脑是不是中毒了等等等推脱 最后就推到外线(装宽带)的人 上门检查 最后不了了之.

2015 年 经历了 工信部工单投诉(结果被吃了 致电工信部说投诉工单没收到) 重复 2 次后 向对方索要投诉邮箱 邮件投诉...之后工信部讲投诉工单移交企业方(中国电信浙江分公司) 1W 号回电:我们没问题..
重新致电工信部 这个没解决为什么不跟进了 各种转接到这个工单的处理人那边 被告知：工信部只受理话费突然少了等方向的争议 对于宽带运营商劫持弹广告的暂时不在他们的受理范围之内 详情可以参见电信服务什么什么的条例(这个真的忘了 当时查看了下都是手机通讯相关的 没涉及到宽带方面) 然后说了一下 他们说这一块 ISP 宽带劫持的东西他们有提案什么的 但是还一直在讨论中等等等...于是让我找省通讯管理局投诉试试.

省通讯管理局受理并跟进 电信临时加白宽带账号 回复省通讯管理局：“经仔细核查电信并没有这个问题” 省通讯管理局回电告知处理结果...

之后过了一个星期 又出现广告劫持了 呵呵哒..

之后变成了循环投诉 劫持 -- 1W 号 你们老毛病又犯了 有完没完? -- 加白账号(期间加黑 区号+10000 明确告知省级单位来回复)

大概搞了一两个月 也算是真忍不住了 1W 号投诉之后 省单位回电说 已经屏蔽了等等 直接回复告诉他：“你们这套东西我都懂 但是你们这么放着玩 别逼我做个横幅啥的拉上朋友堵你们营业厅 反正我是干的出来这种事” 之后加白了 1~2 个月

再之后 间歇性出现劫持 直接 1W 号电话过去 投诉 “老毛病又犯了 弹广告了。。 IPxxx 域名 xxx ” 省单位回电后 就加白了...

(语文不好 多多见谅 QWQ)

@lanlanlan
佩服。看来工信部也管不了。
我很想知道哪些人在玩，我估计客服、上门维护的人都是底层，确实根本就不知道。

@lanlanlan

去年我的电信手机号被营业厅误操作销号，我也是一顿投诉，也投诉到工信部，大概 2 周才给我恢复过来。

@KexyBiscuit
可是 Chrome 也在沙盘里
只不过 Edge 的沙盘比较威猛，是 AppContainer 罢了

@des 登录不用 HTTPS 都是耍流氓。

@KexyBiscuit 只有登录也是然饼卵，拿到 cookie 想干嘛干嘛。好多时候你也不会去手动加个 s ，况且还能还能给你跳到 http 呢。估计等全都 https 了，它们还能给你代理成 http 呢

@des 不要以为做不出来，你想框架你的网页和插 js 这种是也能做出来啊。无非就是成本大了很多，看能不能接受而已

@chinaglwo 已知的都是省级单位搞的鬼..
手机号码被误销号这种他们运营商还是愿意处理的。。
<<<最后 有个比较有意思的 其他地区运营商劫持 他们直接打死他挂广告 JS 的服务器 以暴制暴未尝不好啊 hhh

为什么还没勇士上去清他数据库呢？

@chinaglwo 我也是广西电信的，这两天也发现了这个问题。

另外还发现这个只会再 chrome 中出现，火狐、 IE 都没有发现这个问题

表示很不理解，这是为什么呢？

@chinaglwo 在火狐 firebug 中查了一遍，没有发现这个请求。

@dolee
是啊，我基本看网页都使用 chrome ，出现很频繁，打开几十个页面至少出现一两次。我用火狐、 IE 试过，打开几十个页面都不会出现，打开页面前我用 f12 观察，没发现 js 被劫持。

但是我也新安装了虚拟机，然后新装了 chrome ，没安装任何扩展和插件，也会被劫持，所以可以排除 chrome 的问题。

@dolee
现在域名变了。
之前是 p.haolew.com
现在是 ns1.qwhls.net

@dolee
火狐、 IE 不出现的具体原因不清楚，但是至少可以知道程序是可以根据 ua 和访问 url 才决定是否 js 劫持，不然你看政府网站，就不会被劫持吧。

我也是广西电信，校园宽带
我已经上报工信部了，然后南宁电信这边给我打了电话，也说查不出，他叫我提供下材料
我前一个账户也出现了这个情况，当时在 CNZZ 已经揪出了他们的统计代码，标题就明确写着”“广西电信右下角弹窗..”站点数据”，但是没有投诉
不过没保存好，被删了。现在重新收集中。

他们现在似乎把 p.haolew.com 解析到 127.0.0.1 了。然后变成了 ns1.qwhls.net

@mikeshinoda
是的，没错。我前面的回复也说了已经变成 ns1.qwhls.net 了。

我这只有 chrome 提示恶意警告，其他浏览器没事。你也是这样吗？

@mikeshinoda

怎么样能从 cnzz 收集到？

@chinaglwo 之前看有段时间用的 iframe 广告里面有 CNZZ 的 js 代码。现在我也找不到了
跟这里说的情况差不多。我那时候直接套插入广告的统计代码就看到的
https://www.rpk31.com/585.html

企业光纤专线也被搞了，昨天投诉到工信部今天上午工信部的来电称弹出广告不是运营商的内容，要当事人自行联系 12300 或 12377 反映。。。

@mikeshinoda
这些畜生，随便搞下就几十万上百万的流量，利益多高啊。

@tonnydan
12300 也是工信部的吧，估计他们就是不同的部门互相推责任，根本没起到监管作用

@chinaglwo 貌似我这边情况好多了，不见弹窗和危险警告了。
本来说要发材料给南宁电信这边的，后来自己忘了。
昨天那个负责人打电话给我中午才发的过去。
估计是目前正在处理吧。

@chinaglwo 现在变成 gg.jtertp.com 了

有个简单办法解决这个问题，就是把你认为可能的广告域名加入到 hosts 配置文件当中。让广告在请求广告时找不到真正的广告服务器。具体如下：
1.找到 C:\WINDOWS\system32\drivers\etc\hosts
2.用管理员身份用 notepad(记事本)打开这个文件
3.把可疑的广告域名加进去，如 127.0.0.1 xx.ad.com (一行一个域名)
4.保存后，下次再打开网页应该就不会出现广告了。

如果还不明白，请看此网页：
http://www.myhack58.com/Article/54/93/2011/29528.htm

@tonnydan

你看一下我这个帖子的补充内容，我把 ua 换成非 windows 下的 chrome ，就再也没出现问题了，你试试看。

@skybbz

这个是 js 劫持，不是简单弹窗，所以导致 chrome 出现危险警告，你说的改 host 没用的，这一点上面的 28 楼已经说过了。

@mikeshinoda

我把 chrome 的 ua 换成非 windows 下的了，这段时间一点问题也没有。所以也没有再切回去看是否还有警告。