caoz的心得与分享,只此一家,别无分号.

创业者的噩梦 - 谁劫持了我们的用户!

发布日期:2018-02-05 10:30:00 +0000

创业者的噩梦 -商业竞争究竟有多残酷和黑暗

创业者的噩梦 - 人与人的信任呢?

创业者的噩梦 - 怎么就侵权了

创业者的噩梦 - 明明我先想到的

创业者的噩梦 - 为什么没人能帮忙。

创业者的噩梦 - 该我的钱怎么拿不到?

断崖式下跌 - 创业者的噩梦


创业者的噩梦系列, 每天都在说别人的故事,今天说说我们自己的。


读者都知道我最近没少推易灵微课,推的有些读者都退订我的公众号了。


结果前几天就遇到问题了,我发现我访问我们易灵微课公众号的时候,样式表混乱,而且被插入了广告,这让我很震惊,立即让公司同事严查,他们说以前偶然遇到过,但刷新后就消失了,所以没当回事!(什么叫创业者的敏锐度,怎么提醒都不过分吧。)


我们架构是这样的,用的腾讯云服务器,腾讯云CDN,DNS使用的是腾讯旗下的dnspod,而我是通过官方版本的微信,在访问公众号时候出现了问题,我的手机是华为,没有root,应该不存在客户端恶意插件的问题,微信公众号的请求接口我们用的是https协议,那么已知我们服务器代码没有问题,没有被挂马,之后我在我手机上安装了一些网络工具,通过ping核对在我访问的地方没有出现dns劫持,访问地址是合法的腾讯云CDN地址。


工程师怀疑是第三方js的问题,删除了第三方js,但我这边依然重现劫持。(但也可能是因为cdn没有删除,这个原因暂时不能被排除)

(请注意以上的判断方式,客户端问题排查,网络劫持问题排查,服务端入侵问题排查)


那么问题来了,哪里被劫持了?


我请教了腾讯云的安全技术专家方勇,(嗯,也是我的资深粉丝。) 他给我们的建议是,把腾讯云CDN溯源的链接改为https,修改后我们测试了一下,观察几天,暂时没有重现劫持。


这事邪门不,如果不是第三方js的问题,那么就是说明腾讯云CDN从腾讯云服务器去抓取数据的过程被劫持了,被插入了恶意代码,并且根据某些设定条件触发广告植入。


我当然想知道劫持方是谁,但微信公众号上无法查询源代码,而当我使用浏览器打开链接会提示只能在微信公众平台打开,逼的我装了好几个手机上的抓包工具,可是好久没动过手了,真的生疏了很多,一直没搞定工具怎么用,然后那边已经把问题解决了,所以也没看到劫持的代码是怎样的。


但劫持获利方还是可以看到的,劫持的广告有一部分是京东的联盟广告,这个链接我拿来分析了一下,从代码中看到是来自于一个叫做xinjinnan.com的渠道,而广告的点击表现是,先跳转到xinjinnan.com的一个任意页面,然后迅速跳转到京东网站,(这样的目的是让京东的联盟后台误以为来源于xinjinnan.com的正常访问者)。


xinjinnan.com的域名持有人


通过whois 查询,注册人叫做 ma yongchuan,地址为 重庆,东海长洲 b5-6-6。经过注册邮件地址反查其他相关记录,注册人中文名应为 马永川。

联系电话为 +86 23 62813747


备案信息为 武汉金华南净化彩板有限公司


这个域名来自于过期域名注册,根据我的搜索判断,抢注方应为合肥聚名网络,而合理逻辑是,马永川从合肥聚名网络购买此域名。所以备案信息应与网站持有人无关,应为域名过期前备案。域名持有者通过注册已备案域名规避监管风险。


通过企查查搜索马永川 ,有30+人,其中和IT相关两人,但不能确认为同一个人。


但核心的问题并没有解决。


1、怎么劫持的?


中国互联网环境之恶劣,各地电信之流氓和不择手段,早就令人发指。除非你又真凭实据,抓到现行,否则极难起诉和控告有关劫持方,创业者每每遇到只能自己想办法,自吞苦果。


流量劫持的产业我估计天朝每年差不多百亿+规模,这么多年无法根治,太多利益关联方本身就有官家背景,你怎么办?即便是巨头被劫持都是家常便饭,不要说创业公司,更不用说追查之艰难,取证之繁琐。当年某省电信劫持某巨头被查到现行,人家一句话,系统故障就搪塞过去了,还能怎样。


2、提醒创业者,务必在各个环节使用https!


你说你的访问量低,用户少,无所谓。


劫持不看这个的,你用到个什么第三方统计代码啊,你用到个什么第三方样式表啊,它一看认识,咔嚓就塞东西进去了。


前段时间有人在我知识星球里说cnzz也偷偷插广告了,我觉得虽然很多人不喜欢阿里,但我确实不太信阿里会干这么low的事情,多半是中间被劫持了!


所以,第三方js要小心,不是说这个第三方js会有问题,而是会被某些王八蛋中间塞东西。


我现在也怀疑可能我们也是因为存在第三方js所以被插入了,怀疑归怀疑,我没分析到源代码,无法给出足够证据,反正都撤掉了。


第三方js服务商,也请主动拥抱https,防止被人中间利用。


3、烦请腾讯务必保障 至少要保障从腾讯cdn到腾讯云主机的安全链路。


虽然我现在无法证明是否确定是这里出现了问题,但我希望这里千万不要出现问题,因为这样会让用户失去信任。


4、烦请读者转达京东,微信平台,以及其他各大联盟平台的相关人员,如有可能彻查 马永川 旗下的所有联盟渠道或相关域名的访问情况数据,并基于实证给予严肃处理。 并希望各大流量联盟加强,微信平台加强数据监控力度,对异常的流量行为有所警觉,打击劫持者的套利空间,阻断劫持者的利益链条。



此外,读者如果发现我们网课平台出现样式表混乱或者出现广告,烦请立即通知我们,如有可能将广告链接地址一并发送我们,也非常感谢大家的支持与合作。



我懒得生成新的赞赏图,所以每次大家一看,怎么赞赏人那么多啊,我这文章好赚钱啊,嗯,这是这个小程序历史上给我带来的所有赞赏。没某些人想象的那么多,当然,我还是满意的,一块两块也满意。看到您的心意就够了。