» 您尚未登录:请 登录 | 注册 | 标签 | 帮助 | 小黑屋 |


发新话题
打印

[电脑] 上个JD都会被劫持,大家看看这是啥玩意

藕是张力

爱国爱党爱索尼

小黑屋

管埋员

帖子
35657 
精华
1 
积分
31979 
激骚
691 度 
爱车
 
主机
 
相机
 
手机
 
来自
索任同盟 
注册时间
2006-10-24 
1# 发表于 2017-6-30 23:17  显示全部帖子
posted by wap, platform: iPhone
易购返利,把一长串地址贴上来,大家分析一下看看能不能找出是谁做的

TOP

藕是张力

爱国爱党爱索尼

小黑屋

管埋员

帖子
35657 
精华
1 
积分
31979 
激骚
691 度 
爱车
 
主机
 
相机
 
手机
 
来自
索任同盟 
注册时间
2006-10-24 
2# 发表于 2017-6-30 23:42  显示全部帖子
posted by wap, platform: iPhone
可能是链路劫持吧

大家试试 https://www.jd.com

TOP

藕是张力

爱国爱党爱索尼

小黑屋

管埋员

帖子
35657 
精华
1 
积分
31979 
激骚
691 度 
爱车
 
主机
 
相机
 
手机
 
来自
索任同盟 
注册时间
2006-10-24 
3# 发表于 2017-6-30 23:50  显示全部帖子
posted by wap, platform: iPhone
引用:
原帖由 @第七个男孩  于 2017-6-30 23:33 发表
我TM一开京东就先进京东热卖的网站是什么鬼,我手机电脑都先进这个页面,老婆手机正常
就像你去电脑城官方旗舰店,半路上一个人问你,大哥,买啥啊,你和他搭话,就领着你到其他店去了……就是领去官方店,也能拿到好处费

TOP

藕是张力

爱国爱党爱索尼

小黑屋

管埋员

帖子
35657 
精华
1 
积分
31979 
激骚
691 度 
爱车
 
主机
 
相机
 
手机
 
来自
索任同盟 
注册时间
2006-10-24 
4# 发表于 2017-7-1 15:11  显示全部帖子
几年前有人分析过……


某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了。


竟然有这样的事,一定要把木马大卸八块。




【原因排查】


首先在重现的情况下抓包,京东官网确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。


下图是应用层的抓包。








服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。


继续排查。应用层已经不行了,我们要用Wireshark抓网络层的包。








从Wireshark结果可以看到,网络上出现了两个京东的HTTP响应。第一个先到,所以浏览器执行里面的JavaScript代码转到了yiqifa.com;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。


两个京东的HTTP响应包,必然一真一假。快揭示真相了。


再来看看两个HTTP响应的IP头。


第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时京东服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。












至此,确认是链路上的劫持。


更多链路劫持攻击的信息可以先看看笔者之前写的文章《链路劫持攻击一二三》。




【攻击方式】


继续分析伪造的数据包。


伪造包的TTL值是252,也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了,一般不会修改),也就表明攻击者的设备离我隔了3个路由;而正常的京东网站的HTTP响应TTL值是56,隔了8个路由。物理上假的设备离我近,所以伪造的HTTP响应会先到——比较有意思的是,笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。


推测是一个旁路设备侦听所有的数据包,发现请求京东首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。






当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站,于是就访问了下易迅、淘宝、天猫这些电商网站,结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟,通过返利联盟获得当前用户成交金额的返利。


基本确认运营商有问题,但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。


【攻击源定位】


来看看当时的路由结果:









如果按初始TTL值为255来算,HTTP包到达本机后为252,推算出经过了3(255-252)个路由,出问题的地方就在第4个路由附近,也就是这里的119.145.220.86(属于深圳电信)。


当然了,虽然基本可以确认是第四个路由附近的问题(笔者连续几天抓包,伪造的HTTP响应包TTL值一直是252),但是不排除设备故意构造一个初始TTL值(比如设置为254)来增加追查难度,为了严谨的治学态度及避免被攻击者迷惑,所以证据要坐实了。


定位比较简单,既然攻击设备是旁路侦听数据包,可以推测它是基于包而非状态的,我们构造被侦听的数据包(也就是直接发出访问京东首页的HTTP请求TCP包,不需要三次握手)多次发送,TTL值从1开始递增,精确地传递数据包到每一个路径上,直到出现伪造响应——没有问题的位置是不会有响应的,第一个出现伪造响应的位置就是出问题的位置。


这个时候就需要一个数据包构造工具了,基于Python的Scapy或者Windows下的XCAP都行。


于是一路发过去,TTL值等于4的时候伪造的响应包出现了——确认就是第四跳路由出问题了,同时119.145.55.14回复了Time-to-live Exceeded的ICMP包。











【问题处理】


有了充分证据,于是整理了一个图文并茂的文档通过腾讯安全应急响应中心向深圳电信报障。


一天后得到运营商答复:“经核查,深圳本地没有进行推送,经网上查询有木马或病毒会导致此现象,非电信网内问题,请进行杀毒后再测试,谢谢”。运营商还附送了这则2013年的新闻:《淘宝易迅纷纷遭木马劫持,电脑管家独家首发专杀工具》。


不过从当天晚上起,我再在ADSL环境测试,就没有发现这种流量劫持现象了。

TOP

发新话题
     
官方公众号及微博