一、前言
周五出差回来晚上吃完饭后看了一个系统,打开以后发现今天又是一个不正常的周五。
什么情况呢?
通过浏览器(edge、Firefox、Chrome)访问域名:http://xxx.net
1、edge、Firefox浏览器首次访问均跳转到黄色网站,Chrome不会。
2、除了xxx.net这个系统以外都可以正常访问,正常上网也没问题。
3、首次访问xxx.net 会跳转黄色网站,第二次可以正常访问。
4、别人可以正常访问,移动端和PC端都没问题,唯独我PC不行。有趣…….(wc 顶级黑客团队耶)
5、跳转这几个域名:https://378.vzyggj.com/aff-urzn
https://593b.vzyggj.com/aff-urzn
https://olm.zdmkoyn.cn/1.html?channelCode=juliang327
二、思考造成问题的原因:
3、DNS劫持、DNS污染(这种情况在正常不过了)?
三、分析(一顿操作猛如虎,结果就是二百五)
根据您描述的这个互联网系统访问异常的情况,我的分析和建议如下:
1. 该问题主要表现为不同浏览器第一次访问时会跳转黄色网站,但第二次访问就正常。并且问题只发生在这个互联网系统,其他网站不受影响。
2. 从现象看,该系统很有可能存在DNS劫持或DNS污染。第一次访问系统解析到错误IP,第二次可能走缓存就正常。
– 使用nslookup、dig等工具检测该域名对应的IP地址, 是否出现异常解析。
检查本地网络是否存在DNS污染,可以在路由器设置纯真DNS进行测试。
使用Wireshark等pktsniff工具,抓取该系统域名的DNS解析包,分析返回IP。
联系网站管理员,确认该域名对应的正确IP地址,排查DNS记录是否被篡改。
如果确认是DNS问题,可以通过修改本地hosts文件使用正确IP访问,也可以设置系统或浏览器使用可信DNS服务器,避免解析错误IP。
如果其他方面排查无果,可以考虑抓包分析该系统的HTTP请求,判断有无潜在的中间人劫持问题。
综上所述,这很有可能是一个DNS层面的问题,需要从DNS解析入手继续排查,才能找出具体原因。
2、咱们不听它的有理也不听(与其反省自己,不如谴责它人)
2.1首先浅浅的分析下DNS,别人访问可以正常访问,我本机访问就不行。2.2那我加个DNS:114、8.8 哎,它还跳黄色网站。
2.3那我换个IP (哎,还是不行),上代理(哎,还是不行)
2.5 相关注册表也看了(没异常)忘了截图了不好意思哈
2.6对付流氓就用360,下载一个360,没问题。
2.8火绒剑抓一下进程,winshark抓包没异常(补充:https的话解不了密)
哎,哎,哎,发现google manager
发现CDN
这个aff-urzn让我注意到了,因为当我在虚拟机测试的时候,第一次复制xxx.net是可以正常复制的,当我第二次复制就是awjq_aff:urzn复制的这个玩意。看到aff-urzn这个代码里面有base64加密是吧,这种就不用解了,肯定加了混淆。目前来看不是我这边DNS的问题,有点像js问题。
nslookup一下正常,tracert -d 追下路由正常。
也可以用:https://ip.skk.moe/ 看下DNS出口是否异常
然而又想到了该系统xxx.net是http(有SSL证书过期了个屁了。但是也能访问,可是它还是跳),有没有可能黑客通过运营商或者黑客通过http给该系统插了js代码?有没有非网站的js(想多了,直接跳没法看只能等网站正常访问以后再分析)下面代码没用,凑下(浏览器无痕模式也是跳调试也是不行)
看了那些js代码也没啥东西。于是我就登上路由器看了看,也没发现异常,让我意想不到的是这个xxx.net 竟然用google tag manager谷歌域名(可以拿来自定义js做后门),而且还用cdn aws 然后又有cdncloudflare。折腾那么长时间还有有点总结的。(人生在于折腾)
三、总结(以后遇到这种问题的也算个排查和思路吧)
1、看网站源代码,可以通过:浏览器清除缓存-更换IP-开启调试-捕获这个跳转事件。或者用抓包工具抓下流量
3、运营商的问题(流量、上行链路等),DNS污染/劫持需要运营商解决
5、arpspoof 做了随机,按百分比劫持就这样,源头问题
8、家庭宽带的话:光猫拨号-路由器这种情况属于光猫是路由模式,路由器是二级路由,这种情况存在光猫被黑的可能性很大。第二种光猫是桥接模式然后用了路由器拨号。这种就排除光猫被黑的可能性,路由器固件存在问题。怎么排查是路由器的问题还是运营商上行的问题呢?路由器拨号上网存在跳转,那么我们直接接一根网线到光猫上,插到我们电脑上面,用电脑进行拨号上网看看存不存在跳转,跳转就是运营商上行被劫持,不跳则路由器固件有问题。(经过一系列折腾,感觉问题就出现这个环节)
注:本人路由器是斐讯,目前猜测是路由器被广告劫持(但是只有这xxx.net这一个系统有问题),为啥呢?因为分析了一下winshark抓的包,发现是路由器发的包,tcp三次握手时间太短了2毫秒不可能,只有在本地可能,而且我wifi信号差的情况下。看下版本型号:
然后我找到了一篇文章:
这个版本的固件有漏洞,可以拿到root权限,然后看下里面怎么配置的劫持。NND。斐讯的nginx里配置了一些白名单域名,gov.cn,qq.com,所有的点cn后缀等等,唯独没有点net后缀。惹不起的网站不劫持,试了几个.net的域名有的跳黄,有的没事(不排除概率性问题),明天可以把网线插到光猫上面用电脑进行拨号试试。
原文始发于微信公众号(TD安全实验室):关于狠魔幻的事-看到最后
