http劫持要怎么搞定？

有事来

例子如下图：

这个劫持不是运营商的劫持。因为它只有在我常去的论坛才插入广告（是插入，因为帮助我的坛友说他上同一个论坛就不弹广告；而且该论坛广告位不在那里）。其它地方一律不弹广告（贴吧和其它论坛）。
据有经验的坛友介绍，是属于CDN机房内鬼作案。但是我显然不知道如何抓取证据也不知道如何应对。
请问。如何搞定它？

接下来搭车问一个问题——作为收集癖的收集党，最近见识到熟人被勒索病毒毁掉全部资料之后感受到了巨大的威胁。求问，如何预防勒索病毒？或者文件打包病毒？

os52

1.抓包分析或者直接用ublock等工具屏蔽
2.定期备份且备份完成后将备份盘脱机

有事来

os52 发表于 2016-7-24 21:35
1.抓包分析或者直接用ublock等工具屏蔽
2.定期备份且备份完成后将备份盘脱机

在那边，坛友指导的方案也是抓包分析。但是抓包分析面临的问题就是——我不懂网络，抓包抓出来的一切我都看不懂。
脱机的话……我有个问题了。
我7块硬盘全部挂在主机上面。
这样的话，脱机的话我就没法实时使用了。
只有离线备份才有可能预防吗？

随便注册

如果是修改网页，可以用过滤软件把相应代码删掉。Opera吗？

os52

有事来 发表于 2016-7-24 21:42
在那边，坛友指导的方案也是抓包分析。但是抓包分析面临的问题就是——我不懂网络，抓包抓出来的一切我都 ...

1.用ublock屏蔽“第三方”或者全局proxy
2.硬件级写保护/写过滤也可以，但有可能被突破

有事来

随便注册 发表于 2016-7-24 21:46
如果是修改网页，可以用过滤软件把相应代码删掉。Opera吗？

我opera、火狐、chrome三个都用。
但是只要上图中那个论坛，一定会弹广告，而且是很智能的弹（会随机弹，不是一直都有，这就给抓取带来困难）。

随便注册

有事来 发表于 2016-7-24 21:56
我opera、火狐、chrome三个都用。
但是只要上图中那个论坛，一定会弹广告，而且是很智能的弹（会随机弹 ...

什么时候碰上，立即查看源文件，存起来，和没有的时候对比，用过滤软件能过滤掉。如果是往网页里插入广告的话。

有事来

随便注册 发表于 2016-7-24 22:06
什么时候碰上，立即查看源文件，存起来，和没有的时候对比，用过滤软件能过滤掉。如果是往网页里插入广告 ...

1. 网址：[url]http://g.alicdn.com/sd/ncpc/nc.js?t=20160401[/url]
   
2. curl：【 "http://g.alicdn.com/sd/ncpc/nc.js?t=20160401" -H "Host: g.alicdn.com" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0" -H "Accept: */*" -H "Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3" --compressed -H "Referer: [url]http://bbs.saraba1st.com/2b/forum.php[/url]" -H "Connection: keep-alive" -H "Cache-Control: max-age=0"】
   
3. URL参数：[t=20160401]
   
4. 
   
5. 网址：[url]http://static.linkvans.com/js/adx/show_ads.js[/url]
   
6. curl：【"http://static.linkvans.com/js/adx/show_ads.js" -H "Host: static.linkvans.com" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0" -H "Accept: */*" -H "Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3" --compressed -H "Referer: [url]http://ens.endsp.net/pjk/mdk/a_model/banner_right/t_ifr/urlcode-ifr.php?urlcode=http://svc.sspnext.com/slot/4170c579-aa8d-4cf3-9ddc-dd72ef955f2a[/url]" -H "Cookie: vansid=5792271b-198a-24f8-90c1-d88a36a854fd" -H "Connection: keep-alive"】
   
7. 
   
8. 网址：[url]http://120.132.63.203/pjk/pag/ys.php?b=AH0016546&c=6810263_36.248.144.193_2455182375&m=aHR0cDovL3N0YXRpYy5saW5rdmFucy5jb20vanMvYWR4L3Nob3dfYWRzLmpz[/url]
   
9. curl：【 "http://120.132.63.203/pjk/pag/ys.php?b=AH0016546&c=6810263_36.248.144.193_2455182375&m=aHR0cDovL3N0YXRpYy5saW5rdmFucy5jb20vanMvYWR4L3Nob3dfYWRzLmpz" -H "Host: 120.132.63.203" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0" -H "Accept: */*" -H "Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3" --compressed -H "Referer: [url]http://ens.endsp.net/pjk/mdk/a_model/banner_right/t_ifr/urlcode-ifr.php?urlcode=http://svc.sspnext.com/slot/4170c579-aa8d-4cf3-9ddc-dd72ef955f2a[/url]" -H "Cookie: PIDIEPFMLSAASFPSOTAX=f209d87b943fcc6255cd7b750200bb19; HA1W41SDAS12DAHWSTOR=4257921ebbe99e9" -H "Connection: keep-alive"】
   
10. URL参数：[
    
11. b=AH0016546
    
12. c=6810263_36.248.144.193_2455182375
    
13. m=aHR0cDovL3N0YXRpYy5saW5rdmFucy5jb20vanMvYWR4L3Nob3dfYWRzLmpz
    
14. ]
    
15. 
    
16. 网址：[url]http://a.alimama.cn/tkapi/main.js?_t=20130226.js[/url]
    
17. curl：【"http://a.alimama.cn/tkapi/main.js?_t=20130226.js" -H "Host: a.alimama.cn" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0" -H "Accept: */*" -H "Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3" --compressed -H "Referer: [url]http://bbs.saraba1st.com/2b/forum.php[/url]" -H "Connection: keep-alive" -H "Cache-Control: max-age=0"】
    
18. 
    
19. 网址：[url]http://120.132.63.203/pjk/pag/ys.php?b=AH0016546&c=6810281_36.248.144.193_2455182887&m=aHR0cDovL2EuYWxpbWFtYS5jbi90a2FwaS9tYWluLmpzP190PTIwMTMwMjI2Lmpz[/url]
    
20. curl：【"http://120.132.63.203/pjk/pag/ys.php?b=AH0016546&c=6810281_36.248.144.193_2455182887&m=aHR0cDovL2EuYWxpbWFtYS5jbi90a2FwaS9tYWluLmpzP190PTIwMTMwMjI2Lmpz" -H "Host: 120.132.63.203" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0" -H "Accept: */*" -H "Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3" --compressed -H "Referer: [url]http://bbs.saraba1st.com/2b/forum.php[/url]" -H "Cookie: PIDIEPFMLSAASFPSOTAX=f209d87b943fcc6255cd7b750200bb19; HA1W41SDAS12DAHWSTOR=4257921ebbe99e9" -H "Connection: keep-alive"】
    
21. URL参数：[b=AH0016546
    
22. c=6810281_36.248.144.193_2455182887
    
23. m=aHR0cDovL2EuYWxpbWFtYS5jbi90a2FwaS9tYWluLmpzP190PTIwMTMwMjI2Lmpz
    
24. ]
    
25. 网址：[url]http://bbs.saraba1st.com/2b/data/cache/common.js?pwQ[/url]
    
26. URL参数：[pwQ]
    
27. curl：【"http://bbs.saraba1st.com/2b/data/cache/common.js?pwQ" -H "Host: bbs.saraba1st.com" -H "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0" -H "Accept: */*" -H "Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3" --compressed -H "Referer: [url]http://bbs.saraba1st.com/2b/forum.php?mod=post&action=edit&fid=51&tid=1313718&pid=33032271&page=1[/url]" -H "Cookie: tjpctrl=1469197195524; B7Y9_2132_saltkey=CGBuCIOZ; B7Y9_2132_lastvisit=1469190314; B7Y9_2132_sid=t220F8; B7Y9_2132_lastact=1469196548"%"09forum.php"%"09post; B7Y9_2132_pc_size_c=0; pgv_pvi=1205353472; CNZZDATA1259923322=1714800795-1469189524-"%"7C1469194924; _umdata=E2AE90FA4E0E42DE5C6D712A1FC747157F4E22E282EB8CC315D170FE2A366A770E4F666C1C02E04E9C3C6489E8A40AD0F6F64A5F8E8A367A06F7ADFF25D269E988016A0E5CA1286CA7E511BFFC270E948AA653178DB7BC57D7168F6A4ED0B159; B7Y9_2132_ulastactivity=800dETT"%"2Fv1AY2izZL9Fc8SEO8s91z6bzviwXqlll1r"%"2Bz"%"2FwCWA8gg; B7Y9_2132_auth=3dc47o79BgTX0BZ8YdVFtBle8b0oEbSjtZVJlqmml"%"2B"%"2FqdnQYbz9BOb"%"2BWrbkVAwGwcDt4x54LdonCyFmwHzZIOUxJFQ; B7Y9_2132_lastcheckfeed=40657"%"7C1469195198; s1uid=81314; B7Y9_2132_yfe_in=1; B7Y9_2132_forum_lastvisit=D_75_1469195392; B7Y9_2132_visitedfid=51D75; B7Y9_2132_smile=1D1; B7Y9_2132_nofavfid=1; amvid=b7239ab37ece6a14603f2398f391994d; B7Y9_2132_lip=36.248.144.193"%"2C1469176075; B7Y9_2132_viewid=tid_1313718; pgv_si=s4123092992; pgv_info=ssi=s7767243760; B7Y9_2132_sendmail=1; B7Y9_2132_noticeTitle=1" -H "Connection: keep-alive" -H "If-Modified-Since: Fri, 22 Jul 2016 10:46:25 GMT"】
    

复制代码

以上是第一次抓取的时候，用FF的F12》网络选项卡功能抓取代码302部分的内容。
-----------------------------------------------------------------------------------------

http://ens.endsp.net/pjk/mdk/a_model/banner_right/t_ifr/urlcode-ifr.php?urlcode=http://svc.sspnext.com/slot/4170c579-aa8d-4cf3-9ddc-dd72ef955f2a
http://120.132.63.203/pjk/pag/ys.php?b=AH0016546&c=6810263_36.248.144.193_2455182375&m=aHR0cDovL3N0YXRpYy5saW5rdmFucy5jb20vanMvYWR4L3Nob3dfYWRzLmpz
这两个才是真正的广告连接。搜索“ens.endsp.net 劫持”关键字可以找到其他例子。
看起来是请求http://static.linkvans.com/js/adx/show_ads.js这个脚本时的服务器出现问题。
在火狐开F12时，选中一条消息注意看右侧消息头那里有个远程地址的IP，就是那个IP有问题。

查了一下，endsp.net这个域名就是之前找我麻烦的那个leturich.org，估计是改头换面继续做恶了……手法则是一模一样。个人认为他们赚钱方式就是自己注册google推广ID，然后收买一些CDN机房一线员工，将自己的广告劫持到经过机房的所有网站，利用他人网站流量赚取巨额收益。
为了不让事情太明显，他们在劫持的时候顺便会植入cookies，已达成随机弹广告的效果。加上很多网站CDN机房不止一家，用户不一定上一个网站都经过他的机房，致使广告弹出随机性更强。甚至可以猜想到他的推广原则中肯定针对短时间大量刷新有特殊规则，给用户、运营商的排查造成困难。
直接用防火墙墙掉endsp.net这个广告推广源也不好用，因为劫持是发生在CDN机房，他把你推向广告源结果返回404，就导致你的页面加载失败，多刷新几次才能正常显示，对于客户使用还是造成影响（虽然看不到广告了）。客户端这边最有效的自我防御方式，就是将被劫持的域名解析指向其他cdn机房……

以上为坛友第一次具体分析指导。
-------------------------------------------------------------------------------------------

1. 
   
2. 请求地址：[img]http://cnzz.mmstat.com/9.gif[/img]?abc=1&rnd=1155928788
   
3. 远程地址：140.205.35.57:80
   
4. 
   
5. 请求地址：[url]http://g.alicdn.com/sd/ncpc/nc.js?t=20160401[/url]
   
6. 远程地址：47.88.135.253:80
   
7. 
   

复制代码

响应头应该怎么抓？

以上为指导后的继续捕捉。
--------------------------------------------------------------------------------------------
然后？
然后我和坛友都累了。内行指导外行进行口头指导的话非常累。
抓包分析啊什么的，真的，外行玩不转。

随便注册

有事来 发表于 2016-7-24 22:48
以上是第一次抓取的时候，用FF的F12》网络选项卡功能抓取代码302部分的内容。
-------------------- ...

我也不懂抓包，我是指网页源文件，如果是插入代码实现的，就把代码删掉。
既然有Opera，试试这个右键菜单，看有哪些js脚本，特别那些不是论坛的外链，但也有可能是内嵌的。现在就存一份，有广告时再看，对比一下。