curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"
第一次返回
<!DOCTYPE html><html><head><meta name="referrer"content="never"></head><body>
<script>window.location.href="/*union 地址*/";</script>
</body></html>
再请求一次返回
<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>JDWS/2.0</center>
</body>
</html>
抓包结果中恶意的 200 响应是抢答内容
tcpdump -i eth0 -n ne t 182.131.4.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:25.053674 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [S], seq 2750153281, win 29200, options [mss 1460,sackOK,TS val 1274758968 ecr 0,nop,wscale 7], length 0
12:31:25.098860 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [S.], seq 529135627, ack 2750153282, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0
12:31:25.098894 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [.], ack 1, win 229, length 012:31:25.098994 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [P.], seq 1:167, ack 1, win 229, length 166: HTTP: GET / HTTP/1.1
12:31:25.144171 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [.], ack 167, win 31, length 0
12:31:25.144246 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [FP.], seq 1:326, ack 167, win 1026, length 325: HTTP: HTTP/1.1 200 OK
12:31:25.144263 IP 182.131.4.1.80 > ___MY_IP___.46396: Flags [P.], seq 1:389, ack 167, win 31, length 388: HTTP: HTTP/1.1 302 Moved Temporarily
12:31:25.144282 IP ___MY_IP___.46396 > 182.131.4.1.80: Flags [R], seq 2750153448, win 0, length 0
水落石出 #385 @JDSecOffical
感谢您的支持和关注,京东已监测到这一问题,发现该劫持在到达京东 CDN 节点前已发生,涉及到的相关第三方公司的行为严重违反了京东规定,京东已终止与其合作,并将对其违规行为进行严肃处理。
1
gy6221 2018-11-26 01:22:25 +08:00
这看起来更像是运营商干的
|
2
ysc3839 2018-11-26 01:24:45 +08:00 via Android
“只在 http 会起作用”就无法排除中间人攻击的可能性了。
|
3
miyuki OP |
5
zbinlin 2018-11-26 02:07:18 +08:00
查了下:
``` whois 182.131.4.1 ``` 有个 `Data Communication Bureau Of Sichuan Province` 地址,然后百度了下,有惊喜 /dog |
6
jimchen9999 2018-11-26 02:41:46 +08:00
英国伦敦 成功复现
|
7
sutra 2018-11-26 03:04:25 +08:00
182.131.4.1 Data Communication Bureau Of Sichuan Province 然后你懂的
|
8
sutra 2018-11-26 03:07:49 +08:00
你换成别的 IP,比如 curl -v http://61.174.55.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" 就挺干净。
|
9
mytsing520 2018-11-26 04:50:27 +08:00
Google Cloud 香港,复现
|
10
liuyanjun0826 2018-11-26 04:57:03 +08:00
login as: root
[email protected]'s password: Linux vultr.guest 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. Last login: Sat Nov 24 09:54:43 2018 from 112.246.226.63 root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537.36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36" <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>JDWS/2.0</center> </body> </html> root@vultr:~# New Jersey Vultr |
11
ericbize 2018-11-26 04:59:24 +08:00 via iPhone
@liuyanjun0826 ip 暴露了
line 2 |
12
liuyanjun0826 2018-11-26 05:02:26 +08:00
@ericbize 对阿,就是为了验证是 New Jersey Vultr,有什么问题?
|
13
liuyanjun0826 2018-11-26 05:10:43 +08:00
利益相关,京东员工,警告楼主不要造谣
|
14
zbinlin 2018-11-26 05:26:15 +08:00 7
@liuyanjun0826 hehe,这个 UA 被“你们”加入白名单了吧。切实,直接用这个 UA 已经无法复现了,不过,随便改下 UA 里的字符,例如改下 chrome 的版本号,就可以重新重现了。
PS:这个帖子可能已经被有心人“看到了” |
15
liuyanjun0826 2018-11-26 05:34:10 +08:00
@zbinlin 与我联系,我来处理
|
16
johnnie502 2018-11-26 06:03:48 +08:00
美国 comcast 还是能复现
|
17
mytsing520 2018-11-26 06:23:31 +08:00
|
18
Sweden 2018-11-26 06:23:59 +08:00 via Android
欧洲 telenet 成功复现
|
19
lihongming 2018-11-26 06:33:18 +08:00 via iPhone
人在加拿大,现在仍可复现 @刘强东
|
20
Suzutan 2018-11-26 07:41:00 +08:00 via Android
![Screenshot_20181126-073854.png]( https://i.loli.net/2018/11/26/5bfb32b7325cd.png)
四川电信 复现 ![Screenshot_20181126-073822.png]( https://i.loli.net/2018/11/26/5bfb32b735e46.png) 美国洛杉矶,美国 Choopa,复现 |
21
sdshdv 2018-11-26 08:13:21 +08:00 via Android
这可算是搞出大新闻了
|
22
7654 2018-11-26 08:21:46 +08:00
@liuyanjun0826 #13 wy6rm7 是哪个渠道能说说吗,不是一般人哇
|
23
qianmeng 2018-11-26 08:21:58 +08:00 via Android
现在老板消停了,下面的人就活跃起来了,我这里没看到,估计不是目标地区
|
24
rayhy 2018-11-26 08:22:20 +08:00 via Android
😑谁能帮忙解释下这是啥意思吗。。不太懂唉
|
26
v2chou 2018-11-26 08:31:44 +08:00
这 大佬 大佬 推广都不用了 直接收入
|
28
cnkuner 2018-11-26 08:42:24 +08:00 via Android
大家估计一下每天收入能到什么量级,我感觉一天等于一年工资妥妥的。
|
29
gimp 2018-11-26 08:45:27 +08:00
哈尔滨移动复现成功
|
30
halouha 2018-11-26 08:48:03 +08:00
香港复现成功
|
31
bmos 2018-11-26 08:48:44 +08:00 5
@rayhy union.*是京东推广链接,通过这个链接购买的人,京东会给推广人结算提成。相当于你要去超市,我在路上偷偷把你劫持,贴一个标签,说是我带来的人,你买东西后,超市根据你买的商品给我结算一定百分比的提成。
|
32
CasperLee 2018-11-26 08:49:12 +08:00
进来一脸懵,出去一脸懵,有没有大佬给说说这是什么的?
|
33
reus 2018-11-26 08:54:01 +08:00
运营商劫持也是有可能的,http 可以篡改
|
35
cnkuner 2018-11-26 08:56:58 +08:00 via Android
@CasperLee 一般来说运营商劫持不会有这么广的范围,从目前复现的情况看,更可能是狗东内部在部署的时候做了手脚。不过也有其他的可能性。
|
36
ScotGu 2018-11-26 09:02:04 +08:00
刚搞了个美国 VPS,复现达成~
对比起,某些人“警告” LZ 的言论我没憋住~ 就算不是 JD 正式员工,这种 IDC 级别的劫持能过返利系统的风控? |
37
Zeonjl 2018-11-26 09:05:49 +08:00 via iPhone
真这样 jd 惠报警抓人吗?
|
38
junweivan 2018-11-26 09:06:18 +08:00 via Android
堂而皇之薅公司的羊毛,说明京东 IT 部门管理不行
|
39
fhefh 2018-11-26 09:07:29 +08:00 1
美国复现
|
40
leido 2018-11-26 09:08:39 +08:00 via Android
玛德狗东,真以为四川人看不懂么
|
41
vertion 2018-11-26 09:09:52 +08:00
广州,香港,及东京均可复现
|
43
hyshuang2006 2018-11-26 09:11:02 +08:00
谁去微博 @ 京东,就可以把事情弄大啦!
|
44
JmmBite 2018-11-26 09:11:37 +08:00
http://127.0.0.1/?cdn=hisnum
|
45
Osk 2018-11-26 09:15:34 +08:00 via Android
联通网络手机 4G 热点无法复现,
电信网络从今年我换宽带后就这样,http 会被加小尾巴。 Windows 10 平台,切换网络时运行了 ipconfig /flushdns,隐身模式访问 jd.com ,先测试联通,直接跳转到 https://www.jd.com ,中间怎么跳的不知道,但最终访问的地址是干净的。然后换到电信网络,关闭窗口,flushdns,首次访问非 http 100%跳转到 https 的 union 地址。 我换宽带后电信就是这样的,之前我还想去工信部投诉电信。 |
46
Osk 2018-11-26 09:16:17 +08:00 via Android
信置:四川联通,四川电信
|
47
ohmyzsh 2018-11-26 09:16:20 +08:00 via Android 9
利益相关,"警告楼主"?!
MDZZ |
48
justff 2018-11-26 09:16:56 +08:00 11
@liuyanjun0826 这就是你们京东的做事态度?警告发现问题的人?
|
49
Rorysky 2018-11-26 09:18:11 +08:00 via iPhone
@liuyanjun0826 赶紧去发个微博,@ 你们大佬
|
51
lll4m 2018-11-26 09:18:28 +08:00
这个问题大概半年前我就有见过,在广州。不过对本人购物没有影响就无视了
|
52
FakeLeung 2018-11-26 09:18:38 +08:00
广东电信复现成功,bwg 凤凰城 vps 复现不成功:
这一天的收入极其可观啊。 |
54
zhuxinyu 2018-11-26 09:19:12 +08:00
利益相关?
|
55
dangge 2018-11-26 09:20:42 +08:00
|
56
xiaoyangsa 2018-11-26 09:20:44 +08:00
@liuyanjun0826 666
|
57
zr8657 2018-11-26 09:21:24 +08:00
@liuyanjun0826 可以,这很京东
|
58
snw 2018-11-26 09:21:51 +08:00 via Android
猜测是 CDN 所在地的 ISP 劫持的。一个十多年前的帖子:
https://bbs.tianya.cn/m/post-284-52975-1.shtml |
59
maroon5 2018-11-26 09:22:00 +08:00
还真是能复现
|
61
asd123456cxz 2018-11-26 09:24:51 +08:00
请问各位大佬这个。。是怎么发现的?感觉好厉害
|
62
yorks 2018-11-26 09:25:08 +08:00
https://i.loli.net/2018/11/26/5bfb4aca1412c.png 嗯,有 ua 有 Windows,ua 的其他字眼随便改改第一次肯定能中。看上去是对 windows 的 ua 做了 hash。
|
63
digimoon 2018-11-26 09:25:48 +08:00
成功复现,不知道这是什么时候开始的,一天能赚多少呢?
|
64
123s 2018-11-26 09:26:26 +08:00
可怕
|
65
o0 2018-11-26 09:27:07 +08:00
感觉闹得挺火的,看来这个账户别想结算了。
|
66
wibile 2018-11-26 09:27:23 +08:00
大新闻啊,我还以为只是运营商的小伎俩。。。。厉害了!!!!
|
67
Mysqto 2018-11-26 09:27:25 +08:00
换个 UA 本地电信、瓦工 HK、LA 和 GCP HK、TW 以及 azure 和 AWS 均能复现
|
68
cncaihua 2018-11-26 09:28:21 +08:00
这贴要留名吧,虽然我啥也看不懂。
|
69
mohoumk2 2018-11-26 09:28:37 +08:00 via Android
警告楼主的怕不是就是劫持的人
|
70
xdeng 2018-11-26 09:28:45 +08:00
3 台 vps 轻轻松松复现
|
71
icebreaker 2018-11-26 09:29:03 +08:00 via Android 6
猜测是公司自己搞得,可以覆盖别家的推广链接。不然那么多钱能领出来吗?领几百万的财务不会核实流量来源吗,都不是傻子。
|
72
Xiaomage2333 2018-11-26 09:29:17 +08:00 via Android
vultr 日本东京,复现成功~
|
73
18601294989 2018-11-26 09:29:51 +08:00
Wy6RM7 这个人赚翻了吧
|
74
goofool 2018-11-26 09:30:24 +08:00
8 月份有人在路由器论坛提过
http://koolshare.cn/thread-145660-1-1.html |
75
jackkate815 2018-11-26 09:30:38 +08:00 via iPhone
关注.......
|
76
YakuMioto 2018-11-26 09:32:40 +08:00
Mark.
|
77
exkernel 2018-11-26 09:33:01 +08:00
持续关注
|
78
shanlan 2018-11-26 09:33:18 +08:00
阿里云
|
79
cncaihua 2018-11-26 09:35:20 +08:00
坐等分钱
|
80
tatelucky 2018-11-26 09:35:51 +08:00
杭州 复现成功
|
81
SimbaPeng 2018-11-26 09:35:59 +08:00
6 阿
|
82
zdd2389 2018-11-26 09:36:15 +08:00
nb
|
83
mawenjian 2018-11-26 09:36:47 +08:00 via iPhone
如果不能解决问题,就解决发现问题的人。没错,这很“利益相关”。
|
84
amew 2018-11-26 09:37:10 +08:00
多地址复现,6666
|
85
DAPTX4869 2018-11-26 09:37:32 +08:00
广州 虚拟机瞧了下没有
|
86
jingyulong 2018-11-26 09:38:21 +08:00
好像 很厉害的样子
|
87
pepesii 2018-11-26 09:39:25 +08:00
成都电信复现
|
88
taozi00 2018-11-26 09:40:43 +08:00
完全没错啊,真的是利益相关,哈哈哈哈
|
89
ranleng 2018-11-26 09:40:59 +08:00 via Android
啧啧啧。
|
90
SKull4 2018-11-26 09:41:18 +08:00
有了 Wy6RM7 这个标示是不是就能查出是谁了
|
91
hheng101 2018-11-26 09:41:21 +08:00
太魔幻了吧。总觉得不可思议
|
92
mikewoo 2018-11-26 09:42:32 +08:00
那个号称员工还警告楼主的,这是什么神操作啊
|
93
7654 2018-11-26 09:42:45 +08:00
@icebreaker #71 脑洞可以啊
|
94
lonccc 2018-11-26 09:42:48 +08:00
|
95
hezhile 2018-11-26 09:43:35 +08:00
广州移动 貌似没有
|
96
ikaros 2018-11-26 09:44:36 +08:00
我也记得至少半年前就有了,不过当时是直接浏览器输的网址
|
97
ken863103 2018-11-26 09:46:50 +08:00 1
|
98
hellojay 2018-11-26 09:47:04 +08:00
|
99
smallQ 2018-11-26 09:47:19 +08:00
吃瓜看戏
|
100
cai314494687 2018-11-26 09:47:27 +08:00
深圳复现
|