来源:蜘蛛抓取(WebSpider)
时间:2015-01-21 20:29
标签:
fullscreen
502 Bad Gateway
502 Bad Gateway
nginx/1.4.7502 Bad Gateway
502 Bad Gateway
nginx/1.4.7广X电信“绿色上网”的卑鄙行径大揭露! 最近几天,我一打开浏览器(IE/Maxthon都是),输入任何网站,就不断提示“禁止了一个弹出窗口”,机器差点都会给整死。感觉不对径,马上查看页面源代码,发现都被篡改为一下HTML内容: --代码开始---------------------- &HTML&&script language=&JavaScript&& function newwin() {var win_win_attr=toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=5000,left=5000 ;window.open(http://59.42.71.245:9123/Blank.aspx?param=ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx,ips_win0,win_attr);
} &/script& &head&&title&&/title&&META HTTP-EQUIV=&Pragma& CONTENT=&no-cache&&&META http-equiv=&Content-Type& content=&text/charset=gb2312&&&meta http-equiv=&Refresh& content=&0; url=/&&&/head&&body onload=newwin()& &/body&&/html& --代码结束---------------------- 注意点: 1、访问任何网站,都马上被改为以上脚本! 2、“body onload=newwin()”这个动作,它是要打开一个没有任何样式、而且位置不可能显示的窗口(目的就是要隐藏!); 3、该窗口都无一例外地指向“http://59.42.71.245:9123/Blank.aspx?param=ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx”; 终于明白为什么了。马上用纯真IP数据库查询地址“59.42.71.245”,结果是“地址: 广东省广x市
CZ88.NET”,也就是广x市。 马上上网搜索,因为这个东西的存在,所以我安装了FireFox,它能勉强地允许我浏览网站。到google和baidu搜索“59.42.71.245:9123/Blank.aspx”,果然,中招的人很多!矛头都指向广州电信的所谓“绿色上网”。 本人是经验丰富的开发人员,有着超过4年的.NET开发经验,一看“Blank.aspx”,马上意识到这是用ASP.NET写的Web应用。马上用FireFox浏览“http://59.42.71.245:9123/Blank.aspx”,获得页面HTML源代码,如下: --代码开始---------------------- &!DOCTYPE HTML PUBLIC &-//W3C//DTD HTML 4.0 Transitional//EN& & &HTML&
&HEAD&
&title&Blank&/title&
&meta name=&GENERATOR& Content=&Microsoft Visual Studio .NET 7.1&&
&meta name=&CODE_LANGUAGE& Content=&C#&&
&meta name=&vs_defaultClientScript& content=&JavaScript&&
&meta name=&vs_targetSchema& content=&/intellisense/ie5&&
&META HTTP-EQUIV=&Pragma& CONTENT=&no-cache&&
&script language=&JavaScript&&
function closeit()
//setTimeout(&self.close()&,10) //毫秒
setTimeout(&window.opener=window.close()&,10);//十秒后关闭
&/script&
&/HEAD&
&body MS_POSITIONING=&GridLayout& onload=&javascript:closeit()&&
&form name=&Blank& method=&post& action=&Blank.aspx& id=&Blank&& &input type=&hidden& name=&__VIEWSTATE& value=&dDwtNjU0MzcyMTk1Ozs+jPunIYP0tyLmcNLWqLTPhdY8wNc=& /&
&FONT face=&宋体&&&/FONT&
&/form&
&/body& &/HTML& --代码结束---------------------- 很明显,这是用C#写的。经验告诉我,可以访问“http://59.42.71.245:9123/”看看。果然,这个目录允许文件列表查看: --列表开始---------------------- 59.42.71.245 - /bin/ -------------------------------------------------------------------------------- [To Parent Directory]
77824 CommonModule.dll
24576 localhost.dll
28160 localhost.pdb
28672 SDPSysUtility.dll
335872 UserAccessComponent.dll --列表结束---------------------- OK,看见这些文件,我马上想到下载,很搞笑,竟然允许下载!把以下文件下载: 1、localhost.dll(就是blank.aspx所在的ASP.NET程序的主程序集); 2、localhost.pdb(localhost.dll的调试库,没有用); 3、CommonModule.dll(公用模块); 4、SDPSysUtility.dll(做安全和加密用的); 5、UserAccessComponent.dll(这是关键!等一下大家看看广X电信的丑恶嘴脸!); 现在,有经验的.NET开发人员知道怎么做了吧?当然是请出Reflector(/NETTools/)了!真是服了开发人员,很明显前端(ASP.NET)写代码的程序员水平不高,编码又不规范。。。呃,不要扯远了。最关键的是它们没有使用混淆,那我们的反编译就能达到目的了!在Reflector配合Reflector.FileDisassembler(/NETTools/FileDisassembler.aspx)之下,我将这4个程序集大卸八块,把所有的源代码都反编译出来。 先看localhost.dll的源代码: 1、C# 1.0写的,即VS2002; 2、WebForm1没有值得关注的代码; 3、重点在Global.cs:#41行,Application_Start(即整个应用启动的时候),计时器启动-》#66行,TimerUp_Elapsed(计时器间隔):在这里,我们看到它不断将你要访问的网站的信息写到temp\下面的新文件中,并且上传到FTP。 4、核心在ICS.IllegalUserAccess.ShareAccess.Blank中: a).看命名空间(名字),我们明白这是用以控制非法用户访问网站的程序,从ICS这3个字母,我猜是Internet Control System的缩写,也就是互联网控制系统。 b).在#34行Page_Load(Blank页面加载),在对param(就是“ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx”这个参数)几次运算之后,获取了你的机器外部IP(#67行),并且将你的用户名、IP地址加密之后(#77行),写到你本机的Cookie中(#85行),为期10天(#86),并且将这个Cookie信息写入服务器的文件中(刚才的第三步)。 再看SDPSysUtility.dll的源代码: 1、这个代码主要是进行加密; 2、主要类是“SecretProcess.cs”,调用了TicketTool,使用了TripleDES加密算法; 3、其它OpTicket和OperAuthen都是对所谓的访问“令牌”和操作认证而实现的; 再看CommonModule.dll的源代码: 1、这是公用模块; 2、使用了Oracle数据库; 3、会把用户密码发送到“openet@.cn”,查了一下“.cn/”这个网站,是“傲x信息技术(深圳)有限公司”,可以理解为:这个所谓的“绿色上网”的东西是这家公司开发的,至于为什么把密码发送到它们公司,呵呵,可能是这家公司操守有问题,留后门吧:) 最后看UserAccessComponent.dll的源代码: 1、这是整个应用的最核心地方,里面的安全操作与Oracle数据库交互,让你大开眼界! 2、我最感兴趣的是: a).“BlackList.cs”:黑名单; b).“BlackListManage.cs”黑名单管理; c).“BlackUserManage.cs”:黑用户管理; d).“DefyUserManage.cs”:拒绝用户管理; e).“DoubtUser.cs”:置疑用户; f).“ExpiredUser.cs”:过期用户; g).“WhiteList.cs”:白名单(竟然还有白名单!嘿,我才应该是一些zf网站吧!); h).“WhitePortManage.cs”:白端口管理(天!端口都控制了!); i).“WhiteUserManage.cs”:白用户管理; 3、因为这个东西实在大,我就不一一分析,有兴趣的看家可以自行研究。 说明: 1、以上对英文代码的中文注释或者说明皆为我自己的理解和翻译的,可能跟实际情况有差异; 2、这里对每个敏感名词都进行了忌讳处理,如有雷同,纯属巧合! 3、我们公司有另外一个同事跟我的遭遇一样,开始以为是在本地对IE安装了插件进行了篡改,但找遍了注册表和硬盘都没有踪迹,用了各种木马和杀毒软件也没有找到,但有另外几个同事却没有,实在想不通它是在哪里开始进行篡改的。
楼主发言:1次 发图:0张
东还是西
兄台 能不能做个小程序 来解决它
毕竟我没你那么 厉害
还有谁中招了?
厉害阿~
坚决抵抗!
兄弟,救救我,我中招了。好惨啊! 我上不了。一上163就被http://59.42.71.245:9123/Blank.aspx死缠住了。 搂主快点仗义救救俺们吧!
历害...
那位天涯的大侠给小弟指明一条生路阿。 我现在的工作因为邮箱打不开,几近瘫痪!
我的也是,打开好多网站都被改了!
不管是你的请求还是收到的回应,都要经过电信的服务器,这时 电信就可以更改它的内容. 请求: 你的电脑 ----& 电信 -----& 回应:
-----& 电信 -----& 你的电脑 每当http服务器,比如传来一个http包,一般是html文件,比如index.html时. 电信 就 篡改了index.html,加上lz说的一段代码.
以前的一边文章,跟lz说的情形一样,分析透彻: 标题: 谁控制了我们的浏览器 作者: 2f4f587a80c2dbbd870a2 日期: 0、版权 本文遵从GPL协议,欢迎转载。 1、现象是什么? 大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被 莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口。很多人 以为这是网站自己弹出的广告,也就没有在意。 我是属于很在意的那些人之一。 2、这是怎么回事? 经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行 的http客户端),与使用何种操作系统也无关(linux用户也有相关报告)。我对出现 该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统 被安装了adware或者spyware。 那么是不是那些网站自己做的呢?后来发现,访问我们自己管理的网站时也出现了这 种情况,排除了这个可能。 那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备, 劫持了我们的HTTP会话——我实在是不愿相信这个答案,这个无耻、龌龊的答案。 伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可 思议,也一定是答案。 为了验证这个想法,我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直 接访问这个IP的HTTP服务,正常情况下是没有页面的,应该返回404错误。我写了一个 脚本,不断访问这个IP,同时记录进出的数据包。在访问进行了120次的时候,结束请 求,查看数据。120次请求中,118次返回的都是正常的404错误: HTTP/1.1 404 Object Not Found Server: Microsoft-IIS/5.0 Date: Mon, 19 Jul :37 GMT Connection: close Content-Type: text/html Content-Length: 111 &html&&head&&title&Site Not Found&/title&&/head& &body&No web site is configured at this address.&/body&&/html& 但是有两次,返回了这个: HTTP/1.1 200 OK Content-type: text/html &html& &meta http-equiv=Pragma content=no-cache& &meta http-equiv=Refresh content=0;URL=?curtime=& &script& window.open(http://211.147.5.121/DXT06-005.htm, , width=400,height=330); &/script& &head& &title&&/title& &/head& &body& &/body& &/html& 更进一步分析数据包,可知劫持流程如下: A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个 设备按照某种规律,对于某些HTTP请求进行特殊处理。 B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数 据作为回应包,发送给客户端。这个过程是非常快的,我们的HTTP请求发出之后,仅 过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内 做出回应。 C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候, 会被当作错误的报文而不被接受。 D、浏览器会根据&meta http-equiv=Refresh content=0;URL=?curtime=& 这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用 window.open函数打开广告窗口。 在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索, 出现的基本上是国内网站,这表明,问题出在国内。用于inject的设备插在国内的某 个或某几个大节点上。 真相大白。我们被愚弄了,全中国的网民都成了某些人的赚钱工具。 3、现在怎么办? 在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰,可以考虑下面的方法: A、请各单位的网络管理员,在网络的边界设备上,完全封锁211.147.5.121。 B、在你自己的个人防火墙上,完全封锁211.147.5.121。 C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE,可以把 “http://211.147.5.121/*”丢到弹出窗口过滤列表中去。 绝不只是广告那么简单,这涉及到我们的选择,我们的自由,这比垃圾邮件更加肮脏 和无耻。今天是广告,明天就可能在你下载软件的时候给你加个adware或者加个病毒 进去,谁知道呢?我们的HTTP通信完全控制在别人手里。 4、如何把坏家伙揪出来? 如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段: 方法1、 伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject 设备位置相关的。以我收到的数据包为例,真实的服务器端回应TTL是107,伪造的回 应TTL是53。那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点, 从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服 务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方! 方法2: 假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法。在google上以下面这些 关键字搜索: php?curtime htm?curtime asp?curtime 可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址,验证从你的ip 访问过去是否会被inject。将确实会被inject的结果搜集起来,在不同的网络接入点 上挨个用traceroute工具进行路由回溯。分析回溯的结果。 上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么 这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、 D四个被inject到的网站,从四个地方进行路由回溯的结果如下: MyIP-12-13-14-15-65-[89]-15-57-A MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C MyIP-22-25-29-32-65-45-[89]-58-D 显然,inject设备极大可能就在“89”所在的机房。 方法3: 另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下: inetnum: 211.147.0.0 - 211.147.7.255 netname: DYNEGY-COMMUNICATION descr: DYNEGY-COMMUNICATION descr: CO.LTD descr: BEIJING country: CN admin-c: PP40-AP tech-c: SD76-AP mnt-by: MAINT-CNNIC-AP changed: hui_ status: ALLOCATED PORTABLE source: APNIC person: Pang Patrick nic-hdl:
PP40-AP e-mail: bill.pang@bj.datadragon.net address: Fl./8, South Building, Bridge Mansion, No. 53 phone: +86-10- fax-no: +86-10- country: CN changed: ipas@ mnt-by: MAINT-CNNIC-AP source: APNIC person: ShouLan Du address: Fl./8, South Building, Bridge Mansion, No. 53 country: CN phone: +86-010- fax-no: +86-010- e-mail: dsl327@ nic-hdl: SD76-AP mnt-by: MAINT-CNNIC-AP changed: dsl327@ source: APNIC 5、我为什么要写这篇文章? 新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某 网站的广告条,某某网站付给我钱,这也是天经地义的。可是这个211.147.5.121既不 给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心 灵。事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思 汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了。 6、我是谁? 如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到: 2f4f587a80c2dbbd870a2。 #!/usr/bin/perl -w use Digest::MD5 qw(md5 md5_hex md5_base64); $name = MyN $count = MyC for ($i=0; $i&$ $i++) {
$name = md5_hex($name); } print $ 以下签名,用于以后可能出现的关于此文的交流: 1 aeac4aaeabb88e9 2 a6a607b3bcffff61d170 3 6a58eca3448 4 ded96d29f7b49d0dd3f9d 5 cc01a0ec8ec815d83eea66
电信太黑了! 支持!楼主!
谁还中招的,请站出来指正广x电x!
顶!!!现在变地址了: 详细看这里:.cn/yzw/archives/.shtml
电信太黑了,说是24小时内可以取消掉绿色上网,结果取消了3天都没处理好,今天打电话又问客服竟然说是新申请的,没查到有取消的记录,NND, 建议大家一起来声讨电信绿色上网! 很多正常的网页根本打不开比如www.google.pl 其他很多也不一一说明了,提醒大家不要轻信电信的推销,说什么试用一下想取消的话24小时就取消了,很简单的,MD 事实证明电信就是刷我们消费者玩呢!
请遵守言论规则,不得违反国家法律法规同时转发到微博