V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
renyiqiu
V2EX  ›  DNS

紧急求救,网站用移动设备被恶意跳转问题

  •  
  •   renyiqiu · 2019-08-30 11:02:00 +08:00 · 8007 次点击
    这是一个创建于 1914 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自己的一个小破站,已经在 cloudflare 上了https了,并没什么流量也被搞,恶意跳转到花间直播 app 页面,但一直找不到问题,PC 浏览问题,只在部分朋友手机浏览时出现,自己手机浏览又重现不了问题,确定不是网页代码问题,有人说是 DNS 劫持问题,但上了 https 应该比较少可能再出现这问题呀,最死就是现在被百度标记为危险网站了,用户搜索进来都会被百度先拦截,说是被篡改监控。求救呀!

    27 条回复    2019-08-31 11:42:09 +08:00
    Peanut666
        1
    Peanut666  
       2019-08-30 11:11:45 +08:00
    猜是 js 劫持了,排查一下,同时在百度拦截页面申诉一下
    renyiqiu
        2
    renyiqiu  
    OP
       2019-08-30 11:11:52 +08:00
    有大佬来一下么
    onfuns
        3
    onfuns  
       2019-08-30 11:12:29 +08:00
    如果上了 https 那就从下面亮点查找 1、是不是站点的锅被 ip 被劫持了 2、是不是第三方脚本的锅
    23ciyuan
        4
    23ciyuan  
       2019-08-30 11:12:31 +08:00
    所以,网站地址呢?
    youxiachai
        5
    youxiachai  
       2019-08-30 11:17:13 +08:00
    https 是防 js 劫持,
    dns 这种无解..
    DreaMQ
        6
    DreaMQ  
       2019-08-30 11:18:26 +08:00 via Android
    上 HSTS Preload ?
    sa2501
        7
    sa2501  
       2019-08-30 11:19:15 +08:00
    mark 关注一下,
    之前都是在 http 的网站遇到这种问题,现在竟然在 https 也有了,
    我自己是怀疑问题出现在电信运营商方面,而且怀疑是个人故意搞的,估计跳转引流上去搞点小钱钱的感觉。
    在半夜十点,十一点的时候出现机率比较大
    平时基本已经不那么嚣张的出现了
    投诉过,也没什么用
    jjeyz
        8
    jjeyz  
       2019-08-30 11:24:22 +08:00
    检查一下 cdn 的回源设置。有些 cdn 支持 http 回源然后对最终用户提供 https 页面,本来是个好功能,但有时会误用。这种情况下,因为回源不受 http 保护,cdn 到源站之间仍然可能被劫持。这样最终用户即使访问 https 页依然看到被劫持的结果。
    arrow8899
        9
    arrow8899  
       2019-08-30 11:25:20 +08:00
    应该是在 https 握手之前就被劫持了吧,清缓存再试试
    bwd1991
        10
    bwd1991  
       2019-08-30 11:26:37 +08:00
    去主页看看 有神秘代码删掉就行了
    imlinhanchao
        11
    imlinhanchao  
       2019-08-30 11:26:55 +08:00
    可复现的话,手机怼上数据线到电脑,用 Chrome 浏览器开 chrome://inspect。看看 Network 怎么跑(记得把 Preserve Log 勾上),是什么问题多半就清楚了。
    sggggy
        12
    sggggy  
       2019-08-30 11:30:19 +08:00
    我怀疑是第三方浏览器在悄悄搞事情。 **部分朋友的手机里的某些浏览器**
    billytom
        13
    billytom  
       2019-08-30 11:40:06 +08:00 via iPhone
    绝对是 js 劫持或者被人改程序了,看看吧
    7DLNU56W
        14
    7DLNU56W  
       2019-08-30 12:15:43 +08:00
    @youxiachai https 也能防 DNS 劫持,但准确的说不是“防”,而是能发现是否发生劫持,在证书错误时给出提示终止连接。
    XEdge
        15
    XEdge  
       2019-08-30 12:35:23 +08:00
    刚刚发现,https 的 hao123 变这样了,证书没问题啊
    https://s2.ax1x.com/2019/08/30/mXV0eS.jpg
    LeeSeoung
        16
    LeeSeoung  
       2019-08-30 12:48:11 +08:00
    运营商合作黑产拦截微博用户数据 用来点赞+关注的事情忘了?
    luozic
        17
    luozic  
       2019-08-30 12:51:09 +08:00
    dns 投毒?
    Xusually
        18
    Xusually  
       2019-08-30 12:54:00 +08:00   ❤️ 2
    @XEdge 你多虑了,看来你对时间戳不敏感(手动狗头)。。。。1567139294--->>2019/8/30 12:28:14
    sobigfish
        19
    sobigfish  
       2019-08-30 12:55:32 +08:00
    网页里有 cnzz 的 js 么?
    我遭遇过这种案例, 别人网站里的 cnzz 链接被劫持 加入广告跳转
    imaimin
        20
    imaimin  
       2019-08-30 13:18:09 +08:00
    发网址,给你分析分析,你这样说谁知道什么情况啊。
    renyiqiu
        21
    renyiqiu  
    OP
       2019-08-30 13:34:21 +08:00
    @sobigfish 用的是百度统计呢
    XEdge
        22
    XEdge  
       2019-08-30 13:56:49 +08:00
    @Xusually (手动狗头)主要是挂了 xx 后没这个了,让我直接想到了劫持。。。
    yulgang
        23
    yulgang  
       2019-08-30 14:19:02 +08:00
    cloudflare 到源站是 http 吧
    weiruanniubi
        24
    weiruanniubi  
       2019-08-30 15:53:43 +08:00
    不是说 cf 的 IP 被劫持了吗,你的 IP 是不是 cf 被劫持的那个……
    liu19931020
        25
    liu19931020  
       2019-08-30 17:18:02 +08:00
    问问 cloudflare 开 CDN 还能劫持吗
    renyiqiu
        26
    renyiqiu  
    OP
       2019-08-30 23:41:16 +08:00
    我现在先用 cloudflare 的 Under Attack Mode 模式,朋友说不会再跳转了,但第一次访问的时候会先经过 cloudflare 进行检验 5 秒钟,体验可能不太好,只能先这样了
    wwbfred
        27
    wwbfred  
       2019-08-31 11:42:09 +08:00
    https 是可信通信,收发之间出现的任何不一致都是可以被察觉的.
    如果你确定整个链接都使用了 https,没有任何一个环节使用了不安全通信,那出现这种情况有两种可能:
    1.客户端收到正确的数据后被篡改; 2.服务器发送数据之前被篡改.
    目前并没有听说过针对 https 的中间人攻击,所以重点从这两者里排查比较好.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1033 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 22:06 · PVG 06:06 · LAX 14:06 · JFK 17:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.