程序员快给你代码中的 cnzz 统计代码删了,有毒!
最近几天打开网址动不动就是 chrome 的安全警告如下图:
一开始没怎么注意,因为知道 chrome 升级快,可能是证书的问题,点了下面的《详细信息》《忽略》
然后不停的是这个页面,我就开始怀疑是不是被 dns 劫持了,于是查看了 dns 发现没有毛病,各种换 DNS ,依旧有这个报警。
然后我就开始对报警的页面查看源代码,根据 entry.ximeifang.com 线索,发现是 cnzz 的代码被感染了。如下图:
然后我又对这个域名的所有者信息查询到如下图:
打开这些网址发现网站是这样的,基本确定是一个人!
然后多次测试发现只要是带有 cnzz 统计代码的基本上都中招了,不知道是 cnzz 内部的问题还是第三人劫持,看来大家为了推广 https 也是够拼的!
基本确定是http劫持,但是因为很多网站都用的是cnzz的http代码,所以建议大家本地hosts上屏蔽cnzz.com下的域名。如果是站长程序员,请更新你的统计代码,走https
 |
1
shiny PRO 除了 DNS 污染还有 http 劫持。劫持统计网站的 js 是很常见的手段。
|
 |
2
keinx OP @shiny
DNS 劫持应该不是,因为我这边换了好几家 DNS (清了 DNS 缓存),依旧有,运营商劫持的话也应该不是,我在网上找这个问题,发现最近也有其他地区联通用户中招,我是电信,而且地区也不一样。 不清楚是 cnzz 还是机房被入侵。 |
 |
3
qiayue PRO 楼主试试 qiuyumi.com ,我这里不是最新版 chrome
|
 |
5
realzsy Mar 26, 2017 via Android
mark ,看后续大家讨论情况
|
 |
6
1265578519 Mar 26, 2017
你自己网站服务器问题,别怪 cnzz
|
 |
7
nfroot Mar 26, 2017
@keinx
@qiayue @shiny @realzsy 可以确定的是, keinx 和 qiayue 的站点在调用 js 文件的时候是 http 而不是 https ,所以基本考虑原因是 JS 被劫持了。 可以试试我的站点 http://t.cn/R6JDL20 我这里测试你们的都没问题 |
|
8
nfroot Mar 26, 2017
和你们不同的是,我的统计代码都走 https 渠道
|
|
9
keinx OP @1265578519
和我的网站服务器有毛线关系 我访问的网站好多都是,我自己的网站走的 https 没毛病 明显是要么有人恶意给 cnzz http 里面劫持加了代码,要么就是 cnzz 自己加了代码 |
 |
11
victsdo2005 Mar 26, 2017
个人觉得是 hosts 的问题吧。。。
以前用 chrome 很久都没遇到过安全警报 换 hosts 后时不时就会有 |
 |
13
crab Mar 26, 2017  3
address=/bshare.cn/0.0.0.0
address=/bashare.cn/0.0.0.0 address=/3001.net/0.0.0.0 address=/pic.x.soso.com/0.0.0.0 address=/pingma.qq.com/0.0.0.0 address=/51.la/0.0.0.0 address=/umeng.com/0.0.0.0 address=/cnzz.com/0.0.0.0 address=/tajs.qq.com/0.0.0.0 address=/nsclick.baidu.com/0.0.0.0 address=/doubleclick.net/0.0.0.0 address=/beacon.sina.com.cn/0.0.0.0 address=/sax.sina.cn/0.0.0.0 address=/sj.qq.com/0.0.0.0 address=/s.pcapps.qq.com/0.0.0.0 |
 |
14
palytoxin Mar 26, 2017 via Android
14 年我的 cnzz 也被劫持,问了客服没办法。最后弃用了
|
 |
15
RobertYang Mar 26, 2017 via Android
百度统计也会被劫持为广告 (移动端)
|
 |
16
HLT Mar 26, 2017
应该就是劫持的
|
 |
18
cenxun Mar 26, 2017 via Android
jb51 偶尔会出现,不是运营商劫持么,上海联通
|
 |
19
Chalice Mar 26, 2017
http 劫持了,我这里也复现了
 ) |
 |
20
miaomiao888 Mar 27, 2017
@dong3580 0.0.0.0 相当于直接返回空域名 127 在浏览器上可能还需要一点时间连接
|
 |
21
skylancer Mar 27, 2017
@1265578519 回帖前看清楚帖子是好习惯
|
 |
24
darrenfang Mar 27, 2017 via iPhone
上周刚升级到 https
|
 |
25
dong3580 Mar 27, 2017 via Android
@miaomiao888
感谢普及知识 |
 |
26
benbenzhangqi Mar 27, 2017
@keinx 我这边正常访问
|
 |
27
MuaGeWang Mar 27, 2017
感谢提醒
|
 |
28
yidinghe Mar 27, 2017 via Android
CNZZ 是不是中国智障的意思蛤。。。。
|
 |
29
klwlkj Mar 27, 2017
Adblock 好像默认已经屏蔽了各种统计
|
 |
30
missqso Mar 27, 2017 via iPhone
wp 博客统计的话有何推荐啊
|
 |
31
crazykuma Mar 27, 2017
表示我的统计代码没问题
|
 |
32
denghongcai Mar 27, 2017
确定是劫持吗?我开 VPN 、换个网络都有问题,总不能是骨干网的 http 劫持吧
|
|
33
keinx OP @denghongcai
难道是 cnzz 服务器被黑 |
 |
34
zrj766 Mar 27, 2017 via Android
早就换百度了, cnzz 被收购了以后各种抽风
|
 |
35
visonnn Mar 27, 2017
cnzz 是个大坑
|
 |
36
zangev5 Mar 27, 2017
哈哈哈,我也是被提示安全错误了。全局的 VPN 模式下诶。
|
 |
37
woshinide300yuan Mar 27, 2017
@RobertYang 你这么说的确是诶~ 我有时候刷博客就出来一个底部悬浮。 百度的 HTTPS 没用吗都= =
|
 |
38
PixelCode Mar 27, 2017
好像没看到楼主说的, http://openbra.in
 |
 |
39
LanFomalhaut Mar 27, 2017
运营商 HTTP 劫持只劫持 JS 文件这种是最恶心的..( https 大法好)
|
|
40
MuaGeWang Mar 27, 2017 1
应该是部分地区的劫持
我把 http://c.cnzz.com/core.php?web_id=1256960712 放入 www.17ce.com 部分地区返回的结果大小是 574B ,和楼主截图一样。 大小为 763B 的地区未被劫持。 |
 |
41
lyragosa Mar 27, 2017
我这里是用的 https 版的 cnzz ,没有发现被劫持
|
 |
47
taozhijiangscu Mar 27, 2017
https 正常, 23333
|
 |
48
morethansean Mar 27, 2017
|
|
49
taozhijiangscu Mar 27, 2017
回源也可以 https 啊
|
 |
50
ragnaroks Mar 27, 2017
cnzz 不就是因为被劫持的多了所以搞了 https?
|
|
51
RobertYang Mar 27, 2017 via Android
@woshinide300yuan 没用,应该是统计 js 没有 hsts 的锅?最明显的例子是 it 之家,联通电信均有出现
|
 |
52
benbenlang Mar 27, 2017
看了下没问题啊。。。应该不是 cnzz 的问题,老牌子统计了,比百度省心。
|
 |
53
dot Mar 27, 2017
全站 HTTPS 可避免…… CNZZ 用了很久了,貌似一直也没啥问题
|
|
54
morethansean Mar 27, 2017
@taozhijiangscu 但是回源也可以选择协议跟随啊……
|
 |
56
b7898585 Mar 27, 2017
<script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_4906525'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s96.cnzz.com/stat.php%3Fid%3D4906525%26show%3Dpic1' type='text/javascript'%3E%3C/script%3E"));</script>
这行算 http 还是 https ? |
 |
58
Soar360 Mar 28, 2017
换 HTTPS 吧。
|
 |
59
bianke Mar 28, 2017
什么劫持不劫持,根本就是 cnzz 自己搞的木马,估计这家公司免费统计成本太高,老板最近穷疯了,卖这种流量。。。
|
)
Select Language