中国电信流氓行径之一：劫持。

显示全部楼层 · 发表于 2017-6-2 21:29:05

本帖最后由 ELOHIM 于 2017-6-2 21:39 编辑

今天测试发现 QQ安卓手机版总是从106网址下载。
并没有安卓手机，单纯的测试。
见图：

——————————————————————————————————————
随后展开了一番查询。
进虚拟机，微软 SCEP -MMPC参数更新数据库，是通过 101的一个网段。
[mw_shl_code=css,true]MpCmdRun.exe 2196 TCP host 49164 101.96.8.142 http SYN_SENT [/mw_shl_code]
QQ官网上面的TIM不会被劫持。
给电信打电话因为月初无人接听。
首先通过系统防火墙屏蔽了这两个大网段，直接造成 -MMPC参数不能获取微软病毒库更新。
在 threatbook 上面查询 101 这个网址，如下详细信息。
————————
该地址上的可疑URL

URL	文件大小	扫描结果	收录时间
http://101.96.8.142/soft1-01.yxdown.cn/SketchupPro2017ZhuCeJi.rar	236.11 KB	检出	2017-02-11
http://101.96.8.142/69.46.86.252/zhuceji/3dmax/3dsmax2013-zhuceji.zip	2.88 MB	检出	2016-07-07
http://101.96.8.142/69.46.86.252/zhuceji/cad/autocad2015-zhuceji.zip	605.01 KB	检出	2016-10-18
http://101.96.8.142/soft1-01.yxdown.cn/CorelPainter2017ZhuCeJi.rar	1.37 MB	检出	2016-11-05
http://101.96.8.142/soft1-06.yxdown.cn/XiaoMaJiHuoGongJu2016.rar	1.03 MB	检出	2017-01-15
http://101.96.8.142/soft1-05.yxdown.cn/YouXunYouXiHe.rar	6.02 MB	检出	2017-01-29
http://101.96.8.142/bd04.yxdown.cn/2016/FuZhu/nizhanzhanshenfuzhu.rar	1.03 MB	检出	2017-01-14
http://101.96.8.142:80i.gtimg.c...d686d37907294bd588aa1c6fd76f8c00.js.zip	925.0 Byte(s)	检出	2017-01-23
http://101.96.8.142:80i.gtimg.c...1cc400bd15bd4264a1c475f87d6384da.js.zip	881.0 Byte(s)	检出	2017-01-23
http://101.96.8.142:80i.gtimg.c...e3f49b34e70549a485250b982dec2704.js.zip	836.0 Byte(s)	检出	2017-01-19
http://101.96.8.142/soft1-06.yxdown.cn/TianTianXiaoShuoYueDuQi.rar	1.19 MB	检出	2017-01-11
http://101.96.8.142:80i.gtimg.c...723f97c2d51641778553ff8075ddfd43.js.zip	906.0 Byte(s)	检出	2017-01-23
http://101.96.8.142:80i.gtimg.c...371f2d45c3e24525871ec8f5cd057e43.js.zip	877.0 Byte(s)	检出	2017-01-23
http://101.96.8.142/soft1-05.yxdown.cn/XunYouWangYouJiaSuQi2017.rar	9.53 MB	检出	2017-02-04
http://101.96.8.142/soft1-01.yxdown.cn/BaiDuYunXianSuPoJieBuDing.rar	8.39 MB	检出	2017-01-22
http://101.96.8.142/dl.360safe.com/360DrvMgrInstaller_beta.exe	8.74 MB	检出	2016-11-25
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/w...app-16851.zip	178.32 KB	检出	2016-11-04
http://101.96.8.142:80admdownload.adob...flashplayer23ax_baie_install.exe	1.14 MB	未检出	2016-10-20
http://101.96.8.142:80gdlp01.c-ws...LBP3200_R110_V100_Win2K_XP_x32_ZH.exe	1.64 MB	检出	2017-01-01
http://101.96.8.142/soft1-12.yxdown.cn/officeQiangLiXieZaiGongJu.rar	795.84 KB	检出	2016-12-16
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/g...app-15882.zip	161.79 KB	检出	2016-11-04
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/l...app-13539.zip	184.21 KB	检出	2016-11-04
http://101.96.8.142:80d1g6fjfn00n9j5.cl...gibletsHeadPlateRemoval.zip.zip	4.82 KB	未检出	2016-12-15
http://101.96.8.142:80qh.dlse...Office2010-kb2289161-fullfile-x86-glb.exe	9.44 MB	未检出	2017-01-09
http://101.96.8.142/cok.eleximg.com/cok/lua/dr_HeadIcon1.0.8_ios.zip	315.30 KB	未检出	2016-12-25
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/z...app-18065.zip	271.20 KB	未检出	2016-11-02
http://101.96.8.142:80img.im30app.com/az/conf...config_1.0.7297_zh_CN.zip	368.89 KB	未检出	2017-01-05
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/...app-18131-incr.zip	75.03 KB	未检出	2016-11-02
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/g...app-18004.zip	404.74 KB	未检出	2016-11-02
http://101.96.8.142/gw.alicdn.com/L1/429/49823646/app/we/app-17766.zip	15.09 KB	未检出	2016-11-01
http://101.96.8.142:80...dr_Activity_Ad78d26a61f276aae83cee729e97549951_a...	186.57 KB	未检出	2016-12-23
http://101.96.8.142:80d1g6fjfn00n9j5.c...surgery_as1_edgar_bonus2.zip.zip	1.19 KB	未检出	2016-12-10
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/t...app-16721.zip	374.18 KB	未检出	2016-10-31
http://101.96.8.142/acroipm.adobe.com/assets/625.zip	36.71 KB	未检出	2016-11-03
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/a...app-18082.zip	188.93 KB	未检出	2016-12-14
http://101.96.8.142:80qh.dlservice.micr...WindowsXP-KB2744842-x86-CHS.exe	3.77 MB	未检出	2016-12-19
http://101.96.8.142:80downloads.sourceforge.net/project/cta...ctags58.zip	558.45 KB	未检出	2016-12-04
http://101.96.8.142:80d1adefie7lo7jl.cloudfront.net/sta...12011_19150.zip	12.44 KB	未检出	2017-01-09
http://101.96.8.142:80download.autodesk.co...3dsmax2014_help_chs_win0.exe	10.90 KB	未检出	2016-12-12
http://101.96.8.142:80...dr_World_5cebeba4a6d03ed35a252ac799f2c69fe_andro...	849.62 KB	未检出	2016-12-24
http://101.96.8.142:80tc.d...publisher2010-kb2817478-fullfile-x86-glb.exe	7.45 MB	未检出	2017-01-02
http://101.96.8.142:80gw.alicdn.com/L1/429/49823646/app/w...app-19137.zip	127.80 KB	未检出	2017-01-19
http://101.96.8.142:80ccmdl.adobe.com/AdobeProducts/KCC...provapp-dwa.zip	2.76 MB	未检出	2016-09-06
http://101.96.8.142:80...am_delta_patch_1.225.2339.0_c1b9a590c6d13105b731...	674.27 KB	未检出	2016-07-26
http://101.96.8.142:80download.microsoft.com/d...IE9-Windows7-x86-chs.exe	992.30 KB	未检出	2017-01-08
http://101.96.8.142:80acroipm.adobe.com/11/acrobs/CHS/win/n...message.zip	35.97 KB	未检出	2017-02-12
http://101.96.8.142/acroipm.adobe.com/assets/833.zip	36.92 KB	未检出	2017-02-04
http://101.96.8.142:80d1adefie7lo7jl.cloudfront.net/st...590122_11073.zip	37.80 KB	未检出	2017-01-04
http://101.96.8.142:80...sk_castle_festival_face_1f4668af23feeddb46c32bac...	167.74 KB	未检出	2016-10-28

下面是另一个106网段的报告。
大部分是安卓安装包，存在大量QQ.COM域名，但是太长显示不出来。

URL	文件大小	扫描结果	收录时间
http://106.117.248.154:80dd.myapp....41DA61188BDC80D8610D9BF201DBF852.apk	284.03 KB	检出	2017-01-15
http://106.117.248.154:80imtt.dd.q...E24251BC73E8C321FEC69362ADC7C6D1.apk	937.55 KB	检出	2017-01-27
http://106.117.248.154:80imtt.dd.q...322120B54D555A4CFEA11C3FA408D120.apk	3.99 MB	检出	2017-01-12
http://106.117.248.154:80imtt.dd.q...E8559CF52E43AE714FA0DD6A8400FF7F.apk	860.58 KB	检出	2017-01-28
http://106.117.248.154:80imtt.dd.q...8DBC5E37A566A0026A5D036CDFEEB79C.apk	8.65 MB	检出	2016-12-06
http://106.117.248.154:80...NewKingrootV5.0.6_C174_B456_office_release_20...	9.04 MB	检出	2017-03-31
http://106.117.248.154:80imtt.dd.q...89B2B5050B249D7A5A577D481B49092D.apk	9.49 MB	检出	2017-01-07
http://106.117.248.154:80down.myapp....1001997_64735202_1481830278660.apk	6.37 MB	检出	2016-12-23
http://106.117.248.154:80imtt.dd.q...34BBE13FBA01735EC40F0D87B673261F.apk	7.53 MB	检出	2017-01-15
http://106.117.248.154:80...NewKingrootV5.0.2_C167_B404_office_release_20...	8.61 MB	检出	2017-03-06
http://106.117.248.154:80imtt.dd.q...16F7164C286CDA518C82D27E5B1C65AE.apk	8.60 MB	检出	2016-12-21
http://106.117.248.154:80...KingMaster_v1.7.5.373_c175_B57F805008C4BA48_2...	6.36 MB	检出	2017-01-25
http://106.117.248.154:80down.myapp.c...996687_64735202_1481829906986.apk	6.37 MB	检出	2017-02-17
http://106.117.248.154:80down.myapp....1000395_64956472_1484546864676.apk	7.85 MB	检出	2017-01-16
http://106.117.248.154:80imtt.dd.q...73B79264C3919B155B9350FF511BC059.apk	5.82 MB	检出	2017-03-12
http://106.117.248.154:80imtt.dd.q...4C274FDEA46B4C18E7A9A70111DD4C90.apk	3.24 MB	检出	2017-02-06
http://106.117.248.154:80down.myapp....1001611_64735202_1482136387228.apk	6.37 MB	检出	2017-01-14
http://106.117.248.154:80down.myapp....1002418_64735202_1481830103708.apk	6.37 MB	检出	2017-01-01
http://106.117.248.154:80down.myapp....1002537_64735202_1482171832550.apk	6.37 MB	检出	2017-02-10
http://106.117.248.154:80down.myapp....1002332_64735202_1481784949567.apk	6.37 MB	检出	2017-01-05
http://106.117.248.154:80down.myapp.c...996172_64735202_1481829921450.apk	6.37 MB	检出	2017-01-09
http://106.117.248.154:80king.myapp.com/mya...qqpim_6.5.2.1760_102138.apk	7.33 MB	检出	2017-03-17
http://106.117.248.154:80imtt.dd.q...EB0B8DF310700B05370DCAA101F1DCF2.apk	6.45 MB	检出	2017-01-22
http://106.117.248.154:80imtt.dd.q...7DC5A2CF26715BB99C7EC44F4263AE60.apk	6.28 MB	检出	2017-02-07
http://106.117.248.154:80imtt.dd.q...5B018659CFC6CBBA101C3BC8CEC9659E.apk	2.36 MB	检出	2016-12-08
http://106.117.248.154:80down.myapp....1000395_64735202_1481784789441.apk	6.37 MB	检出	2017-01-14
http://106.117.248.154:80down.myapp.c...997556_64956472_1484546945554.apk	7.85 MB	检出	2017-01-17
http://106.117.248.154:80imtt.dd.q...B5974FACF0190F3151381D5EF190E5CB.apk	5.17 MB	检出	2017-02-24
http://106.117.248.154:80...wesecure_6.8.0.3620_android_20161214143210-re...	5.69 MB	未检出	2017-01-29
http://106.117.248.154:80...xcore-3_init-1_Xiaomi_HM_NOTE_1S_3.10.28-gd8c...	25.88 KB	未检出	2016-12-31
http://106.117.248.154:80...wonderplayer_6.0TMS_10191_arm64_release_sign....	1.75 MB	未检出	2016-12-12
http://106.117.248.154:80down.myapp.com/myapp/smar...1000336_65241967.apk	7.92 MB	未检出	2017-03-17
http://106.117.248.154:80...DOCReader_1.6_9754_20160621_200649_blink_sign...	266.99 KB	未检出	2016-12-20
http://106.117.248.154:80...wonderplayer_2.9.1_7136_neon_release_os4.4.zi...	1.63 MB	未检出	2016-12-31
http://106.117.248.154:80...video_vr_plugin_signed_qb_72_20161207190013.z...	82.30 KB	未检出	2016-12-10
http://106.117.248.154:80...xmoddaemon_1.0.8_c9_b71_00433083F0A8917C_0.ex...	427.03 KB	未检出	2016-12-21
http://106.117.248.154:80...qqpim_6.6.2.1900_android_20170117151253_signe...	9.12 MB	未检出	2017-02-04
http://106.117.248.154:80...DOCXReader_3.0_11890_20170117_165936_blink_si...	549.66 KB	未检出	2017-03-20
http://106.117.248.154:80imtt.dd.q...0921D6654B7366F7481C261A57567C5C.apk	1.95 MB	未检出	2017-01-11
http://106.117.248.154:80s...DOCXReader_1.6_8080_20150721_145236_sign.zip	56.29 KB	未检出	2016-12-04
http://106.117.248.154:80...TBSMenu_0.6_443683_20170216_112347.zip_sign.z...	86.65 KB	未检出	2017-02-22
http://106.117.248.154:80...wesecure_6.8.0.3620_android_20161214143210-re...	5.69 MB	未检出	2017-01-25
http://106.117.248.154:80king.myapp.c...gallery_20170315110155_102300.apk	9.66 MB	未检出	2017-03-31
http://106.117.248.154:80...wonderplayer_7.2.1_11837_neon_release_ge4.4_s...	1.83 MB	未检出	2017-03-09
http://106.117.248.154:80...com.tencent.android.qqdownloader_10020529_170...	8.37 MB	未检出	2017-03-18
http://106.117.248.154:80...tencentwifimanager_2.4.2.1519_android_2017011...	6.02 MB	未检出	2017-01-20
http://106.117.248.154:80...XLSXReader_4.3.3_11735_20161228_110517_sign.z...	495.40 KB	未检出	2016-12-30
http://106.117.248.154:80mmgr.myapp.com/myapp/gjb...1443151373321_res.zip	54.30 KB	未检出	2017-02-04

IP地址	101.96.8.142 （无证书无域名无服务）
地理位置	中国,北京,北京 (电信)
ASN	58519（CHINATELECOM-CTCLOUD Cloud Computing Corporation, CN）备注：中国电信云计算公司

IP地址	106.117.248.154 （无证书无域名无服务）
地理位置	中国,河北,唐山(电信)
ASN	4134（CHINANET-BACKBONE No.31,Jin-rong Street, CN）

与该地址（101.96.8.142）通讯的样本

SHA256	病毒家族	病毒类型	检出引擎数	分析日期
f67e057f31a8c39c92afd8b9bb646e85aa328e1695526fcceea1b153b104938d	Zbot	PWS	21	2016-04-07 21:21:40
56c06e1804942923d3cad8e7ff5e9ca305809ff92a9fb0f16fc997441c881e90	Sality	Trojan	20	2016-08-10 06:21:31
dfee67ea18d826ee77d07758e1b6b97dc7e8956af57b426a7be98fb16353ca58	Zbot	TrojanSpy	20	2016-04-07 21:40:07
fca0aaae0dd470acbb6bbe698c6861b486a0f00a5887204562cf9e417b3d8450	Nabucur	Virus	16	2016-06-26 19:56:46
dbb8f11e99acc61d9259d726a67717a9de800ca55a8ac49c4c82a62dba42092f	FakeRean	Rogue	16	2016-03-31 10:05:39
73a005d4203c143e05b8bf1f1baf09029b3fcfd243c4c6e6d4addf0aaa3252c2	NanoCore	Trojan	14	2016-04-07 21:22:05
088596d8efa61b714b7fb0989609e1929e91587a691347fa9de13eab7396b588	Virlock	Virus	13	2016-04-27 22:06:38
bbc5bb8e10f629d254c1d00c65163034c5110fecc51924940d7b4b83e9769bba	iBryte	Adware	12	2016-04-05 03:38:29
13fc88f25ab9b14afde8e62d8611053eeb7f3dd8f7c3931726a6ee42c9e652e1	iBryte	Adware	12	2016-04-05 02:30:57
51a6deb336a93e19f4d59b5e42f7e6afe7e342db5c8ac12305d0404bf5f4d114	iBryte	Adware	12	2016-03-29 08:06:56
23356f86cfe1454863f5589a293056eec2f89bc8c59cbc89ba6bf01beb227f31	iBryte	Adware	12	2016-03-29 09:08:48
a145758f32a57320d21f287df144f38fee7c3017f72eb49158108045fd861404	iBryte	Adware	12	2016-04-05 03:26:56
d89709bca108609dd126feb3a48fb33255e94d16cd49b33bfa73019d4c834cb6	iBryte	Adware	12	2016-04-05 02:24:36
0a333e6877a13d078d5ea1637592d3ba8a23c20d114abbcc775f1ca9dc065360	iBryte	Adware	11	2016-03-29 09:07:03
23f1d0593de0ab20613420b3754ccf44e698af921468c674d5e9940baad0651c	iBryte	Adware	11	2016-04-05 04:01:43
12d4ef8a33e9d613b17fb9d91ff28952d000b223dd71b5dca542f9288ef512fd		Trojan	10	2016-03-29 08:30:21
f97e9841d5b415f375b941585653455c1ae2e4526952afd7d4a4092426d77026	Otorun-13		9	2016-03-27 13:02:13
4100aca3e20e51650ec3219722646418b29d9e7c3a3f2b3bc121d9732f6c8a8b	Gotango	Trojan	4	2016-12-14 05:17:11
af0483e553df14322db05112a6dfeb207aa86f345e50614749d6c1e440f3396c			3	2016-12-14 06:10:12
4b91ecdb4e506c855e8d643e5ee1f097170d546ebca43042bfa11debe2d57331			0	2016-08-31 11:21:51

@中国电信，你的云计算公司就是为了劫持而生的吗？
退一万步，使用你的云计算公司可以加快网速，但是安全吗？你们用什么手段保证大量信息安全过滤？
别告诉我你们自己机房已经被黑客肆虐了。
——————————————————
家庭终端河北段可以使用系统防火墙或者第三方墙屏蔽101.96.0.0 和106.0.0.0这两个网段。
有上不去的网站比如 www.microsoft.com 打不开了，
那么可以使用 ping www.microsoft.com 查看一下你的DNS解析出来的IP地址，防火墙单独放行即可。

显示全部楼层 · 发表于 2017-6-2 21:42:31

正常。电信劫持嘛，每次下载软件都能遇上个几次，比如potplayer的public版，就是
http://101.96.8.165/get.daum.net/PotPlayer/v4/PotPlayerSetup.exe

显示全部楼层 · 发表于 2017-6-2 21:46:24

绯色鎏金发表于 2017-6-2 21:42
正常。电信劫持嘛，每次下载软件都能遇上个几次，比如potplayer的public版，就是
http://101.96.8.165/get ...

如果你把101那一串地址去掉可以下载吗？
我想戳戳他们。。曝曝光。。

显示全部楼层 · 发表于 2017-6-2 21:50:12

ELOHIM 发表于 2017-6-2 21:46
如果你把101那一串地址去掉可以下载吗？
我想戳戳他们。。曝曝光。。

可以，用下载器手动去掉前面的IP也是可以下载的，等于说是电信缓存了安装包，和移动假宽带网络一样，只不过区别应该是电信缓存频率高一点吧，至少有时候可以下载到较新的安装包。有时候也是旧版本的

显示全部楼层 · 发表于 2017-6-2 21:59:33

遇到这种一是换https，没有就用过滤器跳转回原地址，几百上千次有一次没劫持就行。不过后来也无所谓了，exe验证下签名，视频站全缓存了才好呢。

显示全部楼层 · 发表于 2017-6-2 22:01:27

绯色鎏金发表于 2017-6-2 21:50
可以，用下载器手动去掉前面的IP也是可以下载的，等于说是电信缓存了安装包，和移动假宽带网络一样，只不 ...

可是微软病毒库也走劫持线路我就搞不懂了。。。

显示全部楼层 · 发表于 2017-6-2 22:02:28

ELOHIM 发表于 2017-6-2 22:01
可是微软病毒库也走劫持线路我就搞不懂了。。。

病毒库不清楚，catalog提供的下载补丁有时候会被劫持。
莫非电信有自信随时更新病毒库，与微软同步？

显示全部楼层 · 发表于 2017-6-2 22:03:22

随便注册发表于 2017-6-2 21:59
遇到这种一是换https，没有就用过滤器跳转回原地址，几百上千次有一次没劫持就行。不过后来也无所谓了，exe ...

视频缓存真的好……
但是微软病毒库更新也被缓存，各种恶意软件也是这个IP，就感觉不自在。
我已经屏蔽了。
然后windows 更新开始会走劫持这条线，不过试探几次以后就自动换线。
还好。

显示全部楼层 · 发表于 2017-6-2 22:07:50

绯色鎏金发表于 2017-6-2 22:02
病毒库不清楚，catalog提供的下载补丁有时候会被劫持。
莫非电信有自信随时更新病毒库，与微软同步？

这也是我担心的主要原因。
刚才宿主机10系统直接从微软官方下载的。
虚拟机使用 MMPC参数，还是会邹杰赤这条线路…………

显示全部楼层 · 发表于 2017-6-2 22:34:26

ELOHIM 发表于 2017-6-2 22:07
这也是我担心的主要原因。
刚才宿主机10系统直接从微软官方下载的。
虚拟机使用 MMPC参数，还 ...

电信要真的搞劫持的话，谁也没办法，运营商掌控着网络。
为了节省出口带宽，而且电信上传很坑，只有下载的十分之一

[网络] 中国电信流氓行径之一：劫持。

本帖子中包含更多资源

评分