502 Bad Gateway
502 Bad Gateway
nginx/1.4.7502 Bad Gateway
502 Bad Gateway
nginx/1.4.7广X电信“绿色上网”的卑鄙行径大揭露！　　　　最近几天，我一打开浏览器(IE/Maxthon都是)，输入任何网站，就不断提示“禁止了一个弹出窗口”，机器差点都会给整死。感觉不对径，马上查看页面源代码，发现都被篡改为一下HTML内容：　　　　　　--代码开始----------------------　　&HTML&&script language=&JavaScript&&　　function newwin()　　{var win_win_attr=toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=5000,left=5000 ;window.open(http://59.42.71.245:9123/Blank.aspx?param=ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx,ips_win0,win_attr);　　
}　　&/script&　　&head&&title&&/title&&META HTTP-EQUIV=&Pragma& CONTENT=&no-cache&&&META http-equiv=&Content-Type& content=&text/charset=gb2312&&&meta http-equiv=&Refresh& content=&0; url=/&&&/head&&body onload=newwin()& &/body&&/html&　　--代码结束----------------------　　　　　　注意点：　　１、访问任何网站，都马上被改为以上脚本！　　２、“body onload=newwin()”这个动作，它是要打开一个没有任何样式、而且位置不可能显示的窗口（目的就是要隐藏！）；　　３、该窗口都无一例外地指向“http://59.42.71.245:9123/Blank.aspx?param=ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx”；　　　　终于明白为什么了。马上用纯真IP数据库查询地址“59.42.71.245”，结果是“地址： 广东省广x市
CZ88.NET”，也就是广x市。　　　　马上上网搜索，因为这个东西的存在，所以我安装了FireFox，它能勉强地允许我浏览网站。到google和baidu搜索“59.42.71.245:9123/Blank.aspx”，果然，中招的人很多！矛头都指向广州电信的所谓“绿色上网”。　　　　本人是经验丰富的开发人员，有着超过4年的.NET开发经验，一看“Blank.aspx”，马上意识到这是用ASP.NET写的Web应用。马上用FireFox浏览“http://59.42.71.245:9123/Blank.aspx”，获得页面HTML源代码，如下：　　　　--代码开始----------------------　　&!DOCTYPE HTML PUBLIC &-//W3C//DTD HTML 4.0 Transitional//EN& &　　&HTML&　　
&HEAD&　　
&title&Blank&/title&　　
&meta name=&GENERATOR& Content=&Microsoft Visual Studio .NET 7.1&&　　
&meta name=&CODE_LANGUAGE& Content=&C#&&　　
&meta name=&vs_defaultClientScript& content=&JavaScript&&　　
&meta name=&vs_targetSchema& content=&/intellisense/ie5&&　　
&META HTTP-EQUIV=&Pragma& CONTENT=&no-cache&&　　　　
&script language=&JavaScript&& 　　
function closeit() 　　
//setTimeout(&self.close()&,10) //毫秒　　
setTimeout(&window.opener=window.close()&,10);//十秒后关闭　　
&/script&　　
&/HEAD&　　
&body MS_POSITIONING=&GridLayout& onload=&javascript:closeit()&&　　
&form name=&Blank& method=&post& action=&Blank.aspx& id=&Blank&&　　&input type=&hidden& name=&__VIEWSTATE& value=&dDwtNjU0MzcyMTk1Ozs+jPunIYP0tyLmcNLWqLTPhdY8wNc=& /&　　　　
&FONT face=&宋体&&&/FONT&　　
&/form&　　
&/body&　　　　&/HTML&　　--代码结束----------------------　　　　很明显，这是用C#写的。经验告诉我，可以访问“http://59.42.71.245:9123/”看看。果然，这个目录允许文件列表查看：　　　　--列表开始----------------------　　59.42.71.245 - /bin/　　　　--------------------------------------------------------------------------------　　　　[To Parent Directory]
77824 CommonModule.dll
24576 localhost.dll
28160 localhost.pdb
28672 SDPSysUtility.dll
335872 UserAccessComponent.dll　　--列表结束----------------------　　　　　　OK，看见这些文件，我马上想到下载，很搞笑，竟然允许下载！把以下文件下载：　　１、localhost.dll(就是blank.aspx所在的ASP.NET程序的主程序集)；　　２、localhost.pdb(localhost.dll的调试库，没有用)；　　３、CommonModule.dll(公用模块);　　４、SDPSysUtility.dll(做安全和加密用的)；　　５、UserAccessComponent.dll(这是关键！等一下大家看看广X电信的丑恶嘴脸！)；　　　　现在，有经验的.NET开发人员知道怎么做了吧？当然是请出Reflector(/NETTools/)了！真是服了开发人员，很明显前端(ASP.NET)写代码的程序员水平不高，编码又不规范。。。呃，不要扯远了。最关键的是它们没有使用混淆，那我们的反编译就能达到目的了！在Reflector配合Reflector.FileDisassembler(/NETTools/FileDisassembler.aspx)之下，我将这４个程序集大卸八块，把所有的源代码都反编译出来。　　　　先看localhost.dll的源代码：　　１、C# 1.0写的，即VS2002；　　２、WebForm1没有值得关注的代码；　　３、重点在Global.cs：#41行，Application_Start(即整个应用启动的时候)，计时器启动－》#66行，TimerUp_Elapsed(计时器间隔)：在这里，我们看到它不断将你要访问的网站的信息写到temp\下面的新文件中，并且上传到FTP。　　４、核心在ICS.IllegalUserAccess.ShareAccess.Blank中：　　 a).看命名空间(名字)，我们明白这是用以控制非法用户访问网站的程序，从ICS这３个字母，我猜是Internet Control System的缩写，也就是互联网控制系统。　　 b).在#34行Page_Load(Blank页面加载)，在对param(就是“ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx”这个参数)几次运算之后，获取了你的机器外部IP(#67行)，并且将你的用户名、IP地址加密之后(#77行)，写到你本机的Cookie中(#85行)，为期10天(#86)，并且将这个Cookie信息写入服务器的文件中(刚才的第三步)。　　　　再看SDPSysUtility.dll的源代码：　　１、这个代码主要是进行加密；　　２、主要类是“SecretProcess.cs”，调用了TicketTool，使用了TripleDES加密算法；　　３、其它OpTicket和OperAuthen都是对所谓的访问“令牌”和操作认证而实现的；　　　　再看CommonModule.dll的源代码：　　１、这是公用模块；　　２、使用了Oracle数据库；　　３、会把用户密码发送到“openet@.cn”，查了一下“.cn/”这个网站，是“傲x信息技术（深圳）有限公司”，可以理解为：这个所谓的“绿色上网”的东西是这家公司开发的，至于为什么把密码发送到它们公司，呵呵，可能是这家公司操守有问题，留后门吧:)　　　　最后看UserAccessComponent.dll的源代码：　　１、这是整个应用的最核心地方，里面的安全操作与Oracle数据库交互，让你大开眼界！　　２、我最感兴趣的是:　　 a).“BlackList.cs”：黑名单；　　 b).“BlackListManage.cs”黑名单管理；　　 c).“BlackUserManage.cs”：黑用户管理；　　 d).“DefyUserManage.cs”：拒绝用户管理；　　 e).“DoubtUser.cs”：置疑用户；　　 f).“ExpiredUser.cs”：过期用户；　　 g).“WhiteList.cs”：白名单(竟然还有白名单！嘿，我才应该是一些zf网站吧！)；　　 h).“WhitePortManage.cs”：白端口管理(天！端口都控制了！)；　　 i).“WhiteUserManage.cs”：白用户管理；　　３、因为这个东西实在大，我就不一一分析，有兴趣的看家可以自行研究。　　　　　　说明：　　１、以上对英文代码的中文注释或者说明皆为我自己的理解和翻译的，可能跟实际情况有差异；　　２、这里对每个敏感名词都进行了忌讳处理，如有雷同，纯属巧合！　　３、我们公司有另外一个同事跟我的遭遇一样，开始以为是在本地对IE安装了插件进行了篡改，但找遍了注册表和硬盘都没有踪迹，用了各种木马和杀毒软件也没有找到，但有另外几个同事却没有，实在想不通它是在哪里开始进行篡改的。　　　　
楼主发言：1次 发图：0张
　　东还是西
　　兄台 能不能做个小程序 来解决它
毕竟我没你那么 厉害
　　还有谁中招了？
　　厉害阿~
　　坚决抵抗！
　　兄弟，救救我，我中招了。好惨啊！　　我上不了。一上163就被http://59.42.71.245:9123/Blank.aspx死缠住了。　　搂主快点仗义救救俺们吧！
　　历害...
　　那位天涯的大侠给小弟指明一条生路阿。　　我现在的工作因为邮箱打不开，几近瘫痪！　　
　　我的也是，打开好多网站都被改了！
　　不管是你的请求还是收到的回应,都要经过电信的服务器,这时 电信就可以更改它的内容.　　　　请求: 你的电脑 ----& 电信 -----& 　　回应:
-----& 电信 -----& 你的电脑　　　　每当http服务器,比如传来一个http包,一般是html文件,比如index.html时.　　电信 就 篡改了index.html,加上lz说的一段代码.
　　以前的一边文章,跟lz说的情形一样,分析透彻:　　　　标题: 谁控制了我们的浏览器　　　　作者: 2f4f587a80c2dbbd870a2　　日期: 　　　　0、版权　　　　本文遵从GPL协议，欢迎转载。　　　　1、现象是什么？　　　　大约从今年年初开始，很多人就发现，在浏览一些网站的时候，地址栏的url后面会被　　莫名其妙地加上“?curtime=xxxxxxxxxx”（x为数字），并且弹出广告窗口。很多人　　以为这是网站自己弹出的广告，也就没有在意。　　　　我是属于很在意的那些人之一。　　　　2、这是怎么回事？　　　　经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行　　的http客户端），与使用何种操作系统也无关（linux用户也有相关报告）。我对出现　　该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统　　被安装了adware或者spyware。　　　　那么是不是那些网站自己做的呢？后来发现，访问我们自己管理的网站时也出现了这　　种情况，排除了这个可能。　　　　那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，　　劫持了我们的HTTP会话——我实在是不愿相信这个答案，这个无耻、龌龊的答案。　　　　伟大的谢洛克·福尔摩斯说过：当其他可能都被排除之后，剩下的，即使再怎么不可　　思议，也一定是答案。　　　　为了验证这个想法，我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直　　接访问这个IP的HTTP服务，正常情况下是没有页面的，应该返回404错误。我写了一个　　脚本，不断访问这个IP，同时记录进出的数据包。在访问进行了120次的时候，结束请　　求，查看数据。120次请求中，118次返回的都是正常的404错误：　　　　HTTP/1.1 404 Object Not Found　　Server: Microsoft-IIS/5.0　　Date: Mon, 19 Jul :37 GMT　　Connection: close　　Content-Type: text/html　　Content-Length: 111　　　　&html&&head&&title&Site Not Found&/title&&/head&　　&body&No web site is configured at this address.&/body&&/html&　　　　但是有两次，返回了这个：　　　　HTTP/1.1 200 OK　　Content-type: text/html　　　　&html&　　&meta http-equiv=Pragma content=no-cache&　　&meta http-equiv=Refresh content=0;URL=?curtime=&　　&script&　　window.open(http://211.147.5.121/DXT06-005.htm, , width=400,height=330);　　&/script&　　&head&　　&title&&/title&　　&/head&　　&body&　　&/body&　　&/html&　　　　更进一步分析数据包，可知劫持流程如下：　　　　A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个　　设备按照某种规律，对于某些HTTP请求进行特殊处理。　　　　B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数　　据作为回应包，发送给客户端。这个过程是非常快的，我们的HTTP请求发出之后，仅　　过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内　　做出回应。　　　　C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，　　会被当作错误的报文而不被接受。　　　　D、浏览器会根据&meta http-equiv=Refresh content=0;URL=?curtime=&　　这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用　　window.open函数打开广告窗口。　　　　在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索，　　出现的基本上是国内网站，这表明，问题出在国内。用于inject的设备插在国内的某　　个或某几个大节点上。　　　　真相大白。我们被愚弄了，全中国的网民都成了某些人的赚钱工具。　　　　3、现在怎么办？　　　　在坏家伙被捉出来之前，我们要想不受这个玩意的骚扰，可以考虑下面的方法：　　　　A、请各单位的网络管理员，在网络的边界设备上，完全封锁211.147.5.121。　　B、在你自己的个人防火墙上，完全封锁211.147.5.121。　　C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE，可以把　　“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。　　　　绝不只是广告那么简单，这涉及到我们的选择，我们的自由，这比垃圾邮件更加肮脏　　和无耻。今天是广告，明天就可能在你下载软件的时候给你加个adware或者加个病毒　　进去，谁知道呢？我们的HTTP通信完全控制在别人手里。　　　　4、如何把坏家伙揪出来？　　　　如果你是一个有权力调查和处理这件事的人，从技术上，可以考虑下面的手段：　　　　方法1、　　　　伪造的回应数据中并没有处理TTL，也就是说，我们得到的回应数据中TTL是和inject　　设备位置相关的。以我收到的数据包为例，真实的服务器端回应TTL是107，伪造的回　　应TTL是53。那么，从我们这里到被请求的服务器之间经过了21（128-107）个节点，　　从我们这里到inject设备经过了11（64-53）个节点。只需要traceroute一下请求的服　　务器，得到路由回溯，往外数第11个节点就是安插inject设备的地方！　　　　方法2：　　　　假如坏家伙也看到了这篇文章，修改了TTL，我们仍然有办法。在google上以下面这些　　关键字搜索：　　php?curtime　　htm?curtime　　asp?curtime　　可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址，验证从你的ip　　访问过去是否会被inject。将确实会被inject的结果搜集起来，在不同的网络接入点　　上挨个用traceroute工具进行路由回溯。分析回溯的结果。　　　　上面我们已经说明了，坏家伙是在某个或者某些重要节点上安插了inject设备，那么　　这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、　　D四个被inject到的网站，从四个地方进行路由回溯的结果如下：　　　　MyIP-12-13-14-15-65-[89]-15-57-A　　MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B　　MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C　　MyIP-22-25-29-32-65-45-[89]-58-D　　　　显然，inject设备极大可能就在“89”所在的机房。　　　　方法3：　　　　另一方面，可以从存放广告业面的211.147.5.121这个IP入手，whois查询结果如下：　　　　inetnum: 211.147.0.0 - 211.147.7.255　　netname: DYNEGY-COMMUNICATION　　descr: DYNEGY-COMMUNICATION　　descr: CO.LTD　　descr: BEIJING　　country: CN　　admin-c: PP40-AP　　tech-c: SD76-AP　　mnt-by: MAINT-CNNIC-AP　　changed: hui_ 　　status: ALLOCATED PORTABLE　　source: APNIC　　　　person: Pang Patrick　　nic-hdl:
PP40-AP　　e-mail: bill.pang@bj.datadragon.net　　address: Fl./8, South Building, Bridge Mansion, No. 53　　phone: +86-10-　　fax-no: +86-10-　　country: CN　　changed: ipas@ 　　mnt-by: MAINT-CNNIC-AP　　source: APNIC　　　　person: ShouLan Du　　address: Fl./8, South Building, Bridge Mansion, No. 53　　country: CN　　phone: +86-010-　　fax-no: +86-010-　　e-mail: dsl327@　　nic-hdl: SD76-AP　　mnt-by: MAINT-CNNIC-AP　　changed: dsl327@ 　　source: APNIC　　　　5、我为什么要写这篇文章？　　　　新浪为我提供桃色新闻，我顺便看看新浪的广告，这是天经地义的；或者我安装某某　　网站的广告条，某某网站付给我钱，这也是天经地义的。可是这个211.147.5.121既不　　给我提供桃色新闻，又不给钱，却强迫我看广告，这就严重伤害了我脆弱而幼小的心　　灵。事实上，你可以敲诈克林斯·潘，强奸克里奥·佩德拉，咬死王阳明，挖成吉思　　汗墓，我都不会计较，但是现在你既然打搅了我的生活，我就不得不说几句了。　　　　6、我是谁？　　　　如果你知道MyName，又知道MyCount的话，那么，用下面这段perl可以得到：　　2f4f587a80c2dbbd870a2。　　　　#!/usr/bin/perl -w　　　　use Digest::MD5 qw(md5 md5_hex md5_base64);　　　　$name = MyN　　$count = MyC　　　　for ($i=0; $i&$ $i++)　　{　　
$name = md5_hex($name);　　}　　　　print $　　　　以下签名，用于以后可能出现的关于此文的交流：　　　　1 aeac4aaeabb88e9　　2 a6a607b3bcffff61d170　　3 6a58eca3448　　4 ded96d29f7b49d0dd3f9d　　5 cc01a0ec8ec815d83eea66　　
　　　　电信太黑了！　　支持！楼主！
　　谁还中招的，请站出来指正广x电x！
　　顶！！！现在变地址了：　　　　详细看这里：.cn/yzw/archives/.shtml
　　电信太黑了，说是24小时内可以取消掉绿色上网，结果取消了3天都没处理好，今天打电话又问客服竟然说是新申请的，没查到有取消的记录，NND， 建议大家一起来声讨电信绿色上网！ 　　　　很多正常的网页根本打不开比如www.google.pl 其他很多也不一一说明了，提醒大家不要轻信电信的推销，说什么试用一下想取消的话24小时就取消了，很简单的，MD 事实证明电信就是刷我们消费者玩呢！
请遵守言论规则，不得违反国家法律法规同时转发到微博