全球主机交流论坛

标题: 【请MJJ复现】大葱省联通4G跳huang网求教排查方案 [打印本页]

作者: Xiaomage2333 时间: 2024-2-23 09:43
标题: 【请MJJ复现】大葱省联通4G跳huang网求教排查方案
本帖最后由 Xiaomage2333 于 2024-2-23 19:33 编辑

2.23晚update
重启飞行模式，切换IP 以及切换浏览器，用不同的浏览器复现的几率较高
刚刚验证 http://gubo.org 可以复现，同为大葱省联通的MJJ可以试试
更多出现问题的网站正在验证

======
RT，最近发现我的1IP小站跳在联通4G的网络下，每天第一次访问跳H网。因为种种原因并没有开HSTS，因此第一次访问还是HTTP，每天第一次访问必跳H网，跳转完之后哪怕强制使用HTTP访问都不能再复现了，每天只会出现一次。复现的话每天只有一次机会，每天0点重置。

tcpdump用wireshark分析如下，正常的TTL是49，可是突然返回了TTL为230的一个包，这个包有问题：

很长时间了，去年夏天就有，访问古博测评站天天跳，没想到自己的站也开始了，是联通在搞HTTP劫持吗？请教大佬如何排查和硬刚联通？

抓包的时候开了DOT，因此应该不是DNS劫持，就是HTTP劫持。

我把一个子域名解析到了联通测速平台上，明天再试试，看看是不是根据域名SNI判断是否要劫持的，因为直接访问CF IP的80端口并没有被劫持。
另外我在cf worker上新起了一个hello world，明天试试，排除服务器挂马问题。

======

多半是联通干的，找到了类似的受害案例，20年就开始了，联通内鬼应该赚大了

作者: FeiLai 时间: 2024-2-23 09:47
联通的内鬼搞的

作者: Xiaomage2333 时间: 2024-2-23 09:54

FeiLai 发表于 2024-2-23 09:47
联通的内鬼搞的

我感觉也是联通劫持一搜一把电信干的就很少

作者: simonw 时间: 2024-2-23 09:58
先看服务器WEB日志，请求有没有到达服务器，注意内容size，是不是正常，可以URI使用一个不存在的地址，返回404，更容易对比。

可以试试换本地IP，应该能复现。

作者: 机长 时间: 2024-2-23 10:01
51.la maccms lnmp .org 这三个养马场排查下

作者: simonw 时间: 2024-2-23 10:08
看了下包里的IP，你是开了CF的PROXY吧，关了试试。有可能是劫持的CF的IP。

作者: Xiaomage2333 时间: 2024-2-23 10:09

机长发表于 2024-2-23 10:01
51.la maccms lnmp .org 这三个养马场排查下

感谢提醒，但是这三个都没用到，只是我树莓派上的一个smokeping，docker搭的，用cloudflare tunnel内网穿透出来我自己看你提到的这三个确实容易出问题

作者: 蜗牛也是牛 时间: 2024-2-23 11:34
试试打电话投诉到联通宽带投诉下，我以前的电信宽带，有段时间经常跳广告，去投诉dns劫持，客服还说没劫持，投诉后一两天，就不跳广告了

作者: hcy123q 时间: 2024-2-23 11:51
直接投诉，以前https没普及的时候电信都会跳小广告，习惯了

作者: hfhfg 时间: 2024-2-23 12:08
其实只要把网址发出来，让别人试一下，就知道是不是挂马了还是营运商问题。

作者: hadami 时间: 2024-2-23 12:21
就是联通劫持

作者: Typeboom 时间: 2024-2-23 12:28
想办法加上HSTS，再加入 preload 名单

作者: 逼哥 时间: 2024-2-23 12:29
可能不止4G网（只是你在4G网络下用移动设备会跳转误以为只有4G才会跳转）山东联通家宽用手机访问网站也跳XX，应该是做了识别，移动设备下才会跳转，毕竟现在都是app了，PC跳没什么意义！
去年下半年开始已经出现好几次了，只是不知道什么样的情况下能复现，反正偶尔就会跳一次。

作者: Xiaomage2333 时间: 2024-2-23 12:39

Typeboom 发表于 2024-2-23 12:28
想办法加上HSTS，再加入 preload 名单

已经打算上HSTS了，十有八~九是联通干的了，网上搜到和我类似情况的了，跳转代码都一模一样在想办法怎么投诉联通了

作者: Xiaomage2333 时间: 2024-2-23 12:57

逼哥发表于 2024-2-23 12:29
可能不止4G网（只是你在4G网络下用移动设备会跳转误以为只有4G才会跳转）山东联通家宽用手机访问网站也跳XX ...

应该是做了UA检测，手机UA才会跳转。
我找到了贴吧上的贴子，最早可以追溯到20年打算投诉了

作者: zutianrun 时间: 2024-2-23 16:51
老早就发现这个问题了，我江苏联通的卡，在山东省会用，拜访地接入，有时候就会跳H网，而且还不能复现

作者: loukky 时间: 2024-2-23 17:41
这种就是内鬼搞的，以前四川联通访问推特的一个静态文件地址直接跳菠菜，后来我联系了省公司的技术人员反映了才给搞好。

作者: Xiaomage2333 时间: 2024-2-23 18:31

loukky 发表于 2024-2-23 17:41
这种就是内鬼搞的，以前四川联通访问推特的一个静态文件地址直接跳菠菜，后来我联系了省公司的技术人员反映 ...

确实是，下午我用cf workers搞了个HelloWorld都跳，就是中间链路出了问题，有内鬼。请问你是怎么联系上省技术人员的呢？今天投诉说专员会联系我，我感觉大概率是市里专门接投诉打太极的，技术问题够呛能讲明白

作者: Xiaomage2333 时间: 2024-2-23 18:34

simonw 发表于 2024-2-23 10:08
看了下包里的IP，你是开了CF的PROXY吧，关了试试。有可能是劫持的CF的IP。

去年夏天的时候我访问其他不是CF的网站的时候也有跳过符合境外IP+非主流域名就可能跳

作者: hfhfg 时间: 2024-2-23 18:53

Xiaomage2333 发表于 2024-2-23 18:31
确实是，下午我用cf workers搞了个HelloWorld都跳，就是中间链路出了问题，有内鬼。请问你是怎么联系上省 ...

最好同时找出几个网站，这样就耍不了太极。

作者: Xiaomage2333 时间: 2024-2-23 19:27

hfhfg 发表于 2024-2-23 18:53
最好同时找出几个网站，这样就耍不了太极。

谢谢您这招高刚刚重启了几次飞行模式，又找到几个站这样就不能打太极了

作者: Xiaomage2333 时间: 2024-2-23 19:32

hfhfg 发表于 2024-2-23 12:08
其实只要把网址发出来，让别人试一下，就知道是不是挂马了还是营运商问题。 ...

主题里面补了一个网站同样的症状，抓包跳转的代码都一模一样
不过不是我的站我的站一摸就死（就不公开了

作者: loukky 时间: 2024-2-23 22:02

Xiaomage2333 发表于 2024-2-23 18:31
确实是，下午我用cf workers搞了个HelloWorld都跳，就是中间链路出了问题，有内鬼。请问你是怎么联系上省 ...

打的10010就说有正常网站跳转非法网站,让10010联系省公司处理.主要是那时候这个网站是100%跳转,我让客服小姐姐用她的手机测试也会跳转,后来就是省公司的技术人员联系的我

作者: Xiaomage2333 时间: 2024-2-24 07:18
本帖最后由 Xiaomage2333 于 2024-2-24 10:21 编辑

loukky 发表于 2024-2-23 22:02
打的10010就说有正常网站跳转非法网站,让10010联系省公司处理.主要是那时候这个网站是100%跳转,我让客服 ...

100%复现那还真好说我这个情况复现有点难度看投诉工单已经转到市营销中心了跟他们讲明白更难

作者: im2828 时间: 2024-2-24 08:49
山东联通正常。

作者: lwsg1987 时间: 2024-2-24 08:54
山东联通日常操作，其他还有dns劫持

作者: hfhfg 时间: 2024-2-24 11:36
本帖最后由 hfhfg 于 2024-2-24 11:39 编辑

Xiaomage2333 发表于 2024-2-24 07:18
100%复现那还真好说我这个情况复现有点难度看投诉工单已经转到市营销中心了跟他们讲明白更难 ...

录视频，拍照，收集更多证据，然后去工信部投诉。

如果能找到朋友更加好，两个人一起举证，它就不能说是你的个人设备问题了。

作者: Yzindex 时间: 2024-2-24 12:03
丧心病狂啊……1IP也跳？

作者: Xiaomage2333 时间: 2024-2-24 18:47

hfhfg 发表于 2024-2-24 11:36
录视频，拍照，收集更多证据，然后去工信部投诉。

如果能找到朋友更加好，两个人一起举证，它就不能说是 ...

感谢提醒复现过程都是录屏的抓包出来的pcap文件我都有留好今天联系我了，问了我一些问题，说是要再确认一下具体情况，态度还是很好的

作者: Xiaomage2333 时间: 2024-2-24 18:51

Yzindex 发表于 2024-2-24 12:03
丧心病狂啊……1IP也跳？

小博客还是有一些访客的，但是不多，不算大站子域名上的服务就我自己知道，照样跳

作者: hhwxyhh 时间: 2024-2-24 23:20
本帖最后由 hhwxyhh 于 2024-2-24 23:22 编辑

不会是跳含羞草吧？我之前遇到过，是光猫有后门，会在浏览器首页插入一段JS代码，不定时弹出H站，重装系统都是没用的。

欢迎光临全球主机交流论坛 (https://52.ht/)