V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kenvix
V2EX  ›  宽带症候群

github.io 大规模中间人?

  •  5
     
  •   kenvix · 2020-03-26 15:02:27 +08:00 · 34946 次点击
    这是一个创建于 1737 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚刚注意到 *.github.io 的连接都被劫持了,证书变成了一个自颁发的无效证书,还留了个 QQ 号

    挂代理是没问题的

    询问其他省的朋友也是如此

    1.jpg

    2.jpg

    `JKF_0G09K5_KC__B5HF96K.jpg

    第 1 条附言  ·  2020-03-27 09:58:45 +08:00

    部分地区似乎已经开始恢复了。

    image.png

    211 条回复    2020-03-28 18:06:37 +08:00
    1  2  3  
    Jesens
        101
    Jesens  
       2020-03-26 20:54:14 +08:00
    内蒙古联通复现
    ohmyzsh
        102
    ohmyzsh  
       2020-03-26 20:54:49 +08:00
    app.getpocket. com 证书也不对
    cyberpoint
        103
    cyberpoint  
       2020-03-26 20:58:57 +08:00
    befreein
        104
    befreein  
       2020-03-26 21:13:41 +08:00
    河南移动复现,这样做跟耍猴一样
    shejialun
        105
    shejialun  
       2020-03-26 21:23:14 +08:00
    何时才能恢复
    befreein
        106
    befreein  
       2020-03-26 21:30:48 +08:00
    《中华人民共和国刑法》第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
    违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
    simplove
        107
    simplove  
       2020-03-26 21:32:28 +08:00
    广东移动复现,和主题的情况一模一样
    Vhc001
        108
    Vhc001  
       2020-03-26 21:38:50 +08:00   ❤️ 3
    # QQ:346608453 - 群关系查询

    群号:4823518 昵称:张勇
    群名:建三江一中同学
    群介绍:三江一中 89 级 92 届同学,,本届的加入,加入必须写名字!谢

    群号:66136842 昵称:张勇
    群名:亲友群
    群介绍:沟通

    群号:69386774 昵称:帅哥 5 号 张勇
    群名:帅哥靓女对对碰
    群介绍:命运负责洗牌,但是玩牌的是我们自己!

    群号:72876767 昵称:张勇

    群号:10456040 昵称:张勇
    群名:synjones
    群介绍:http://www.synjones.com

    群号:13602636 昵称:灵山-D3
    群名:★城东新居—D 区★
    群介绍:哈尔滨城东新居,群策群力,共建美好家园。(有好的主张,可以发到群论坛)

    群号:15116517 昵称:灵山-D3
    群名:城东新居
    群介绍:小区业主维权的专家,溪畔家园业主委员会的李主任,联系电话是 13069708074 。大家回家

    群号:15376336 昵称:心即灵山
    群名:金龙卡服务群
    群介绍:内部专用

    群号:32068923 昵称:心即灵山
    群名:城东新居高级群
    群介绍:希望大家都能为本群和小区做一些贡献。都想一想办法,怎样能解决我们小区现存的问题。
    loveToMy1
        109
    loveToMy1  
       2020-03-26 21:45:36 +08:00
    这是什么情况 无法访问
    huntcool001
        110
    huntcool001  
       2020-03-26 21:56:07 +08:00
    故意劣化访问质量,为全面墙做准备. 当初 Gmail 就是.
    mikulch
        111
    mikulch  
       2020-03-26 22:05:58 +08:00 via iPhone
    @Sekai 厉害了,dns 自建?
    happylty
        112
    happylty  
       2020-03-26 22:06:18 +08:00
    联通好像没问题。。
    hand515
        113
    hand515  
       2020-03-26 22:08:52 +08:00
    @happylty #112 广州联通有问题
    Jerami
        114
    Jerami  
       2020-03-26 22:14:56 +08:00 via Android   ❤️ 4
    压力测试,看看网民还能忍到什么地步?事实证明,网民还是极其能忍耐的。
    python35
        115
    python35  
       2020-03-26 22:16:17 +08:00
    即将推出国专用 ca 根证书,装上之后既不会提示不安全,又可以。。。
    Altar
        116
    Altar  
       2020-03-26 22:18:30 +08:00
    背锅侠
    Chaidu
        117
    Chaidu  
       2020-03-26 22:18:42 +08:00   ❤️ 1
    你们真的认为这不是国家行为吗?下一步,所有备案域名必须使用天朝签发的证书,否则注销备案
    fkue587
        118
    fkue587  
       2020-03-26 22:20:51 +08:00
    @Vhc001 老哥你这群关系查询在哪里有链接嘛?
    python35
        119
    python35  
       2020-03-26 22:28:07 +08:00
    我猜测 有可能是 Tro~jan 协议对 https 的滥用导致 老~大哥不得不出手了
    Xusually
        120
    Xusually  
       2020-03-26 22:28:20 +08:00
    @fkue587 看上去是 TG 社工库
    liuxyon
        121
    liuxyon  
       2020-03-26 22:37:55 +08:00
    这得有路由权限才可以实现.
    crella
        122
    crella  
       2020-03-26 22:44:49 +08:00 via Android
    广东电信 4G 复现
    Caussti
        123
    Caussti  
       2020-03-26 22:47:06 +08:00
    广东电信复现,和主题一样
    heqiaokyou
        124
    heqiaokyou  
       2020-03-26 22:48:53 +08:00
    广东电信 4G 复现
    搞不懂有什么必要这样做,除非是又准备要求所有人安装上面给的根证书。
    reself
        125
    reself  
       2020-03-26 22:55:59 +08:00
    难怪,这几天 github 都已经困难重重了
    cubecube
        126
    cubecube  
       2020-03-26 23:05:49 +08:00
    北京联通
    https://pages.github.com/ 这个貌似被中间人了
    github.com 主站没有,而且访问被阻断了
    我是更新 nvdia 的 container 发现的。汗了
    [libnvidia-container]
    name=libnvidia-container
    baseurl=https://nvidia.github.io/libnvidia-container/centos7/$basearch
    cubecube
        127
    cubecube  
       2020-03-26 23:07:30 +08:00
    [email protected] 这个哥们真牛比。
    FerrisChan
        128
    FerrisChan  
       2020-03-27 00:24:00 +08:00
    广东电信复现,和主题情况一样
    webshe11
        129
    webshe11  
       2020-03-27 00:30:53 +08:00
    突然发现 RevokeChinaCerts 这个 repo 已经 404 了。。。
    建议大伙排查一下自己电脑的 CA 根证书吧,这次是个自签名的,说不定下一次就是个合法的。。。。
    swulling
        130
    swulling  
       2020-03-27 00:30:57 +08:00 via iPhone
    @Vhc001 估计这个人是哈工程或者哈工大的。在墙上测试证书劫持。
    tojonozomi
        131
    tojonozomi  
       2020-03-27 00:56:13 +08:00
    广东移动复现
    visualbasic
        132
    visualbasic  
       2020-03-27 01:50:23 +08:00 via iPad
    浙江移动复现失败,https 连接正常
    nikolai
        133
    nikolai  
       2020-03-27 01:50:25 +08:00
    @webshe11 这个去年就没了,同作者 twiiter 账号一齐消失
    akira12
        134
    akira12  
       2020-03-27 01:53:20 +08:00
    不光是 github.io ,mono 的网站也被中间人了
    https://www.mono-project.com/
    monson
        135
    monson  
       2020-03-27 04:25:10 +08:00
    看到中间人攻击,以为是自己路由器被劫持了,排查到那个邮箱,google 搜索居然到了 v2 。。
    nanxiaobei
        136
    nanxiaobei  
       2020-03-27 07:21:33 +08:00
    我也遇到这个了,还以为是升级 macOS 的问题,差点重置系统,操
    CatTom2020
        137
    CatTom2020  
       2020-03-27 07:39:39 +08:00
    现在不仅是*.github.io 的问题了
    *.github.com 都不行(广东电信)
    AsisA
        138
    AsisA  
       2020-03-27 07:41:41 +08:00
    上海联通 现在仍旧有问题
    yylzcom
        139
    yylzcom  
       2020-03-27 07:47:31 +08:00
    @python35 #115 以前 360 浏览器遇到不安全证书,不提示风险直接正常访问……
    ixinshang
        140
    ixinshang  
       2020-03-27 07:54:47 +08:00 via Android
    @PerFectTime 可还有能用的群关系?
    dfly0603
        141
    dfly0603  
       2020-03-27 08:30:32 +08:00
    @CatTom2020 +1 江苏移动也挂了
    yuy
        142
    yuy  
       2020-03-27 08:36:28 +08:00
    不仅是*.github.io ,*.github.com 也是(浙江电信)
    shiji
        143
    shiji  
       2020-03-27 08:41:46 +08:00   ❤️ 2
    @Vhc001 我觉得这个 QQ 号只是个背锅的吧。 生成证书的时候邮箱可以随便写的。。
    如果这个人入侵了 GFW,不至于挂着自己的 QQ 找死吧。。
    如果是 GFW 自己搞鬼,用 example.com 不好么。。
    wpaygp
        144
    wpaygp  
       2020-03-27 08:42:38 +08:00
    @HXHL 福建移动没有啊 我发线不会啊
    testcaoy7
        145
    testcaoy7  
       2020-03-27 08:43:56 +08:00
    上海电信也遇到了
    well
        146
    well  
       2020-03-27 08:44:21 +08:00
    有人知道原理吗?我看 ip 解析还是正常到了新加坡,chrome 连接的也是新加坡的 ip,如果劫持应该是中间人的 ip 吧。
    hafuhafu
        147
    hafuhafu  
       2020-03-27 08:45:20 +08:00
    挂了. 福建移动
    hafuhafu
        148
    hafuhafu  
       2020-03-27 08:48:37 +08:00
    说起来 前两天上油管的时候也遇到过 有几次显示证书不对...但是一刷新又正常了就没太在意
    LnTrx
        149
    LnTrx  
       2020-03-27 08:49:40 +08:00
    @well 在运营商级别,伪造源 IP 还是具有可行性的
    bullettrain1433
        150
    bullettrain1433  
       2020-03-27 08:50:34 +08:00
    昨天我也发现了,还以为内网的路由器被人搞了
    pheyer
        151
    pheyer  
       2020-03-27 08:55:12 +08:00
    黄冈电信复现
    well
        152
    well  
       2020-03-27 08:57:44 +08:00
    @talarax7 很奇怪的是中间人怎么做到 ip 不变,但证书被替换的,那么多源 ip 都伪造?还是 github 在 amazon 的服务被攻陷了?真牛。
    Google404
        153
    Google404  
       2020-03-27 08:58:50 +08:00
    ![WX20200327-085145.png]( https://i.loli.net/2020/03/27/Io31WuGV62XAgeS.png)

    ......
    lw960105
        154
    lw960105  
       2020-03-27 08:59:11 +08:00 via Android
    我认为被 gfw 搞的鬼
    padapen
        155
    padapen  
       2020-03-27 09:02:40 +08:00
    浙江电信 复现
    augustheart
        156
    augustheart  
       2020-03-27 09:05:04 +08:00   ❤️ 1
    从各个媒体都无声来看,有关部门在瞎搞的嫌疑是极大的。
    但是可能和 gwf 还真关系不大,不管怎么看这个操作都太 tm 傻逼了。
    MrLeiDeSen
        157
    MrLeiDeSen  
       2020-03-27 09:08:17 +08:00
    浙江电信也是
    longfei210
        158
    longfei210  
       2020-03-27 09:13:12 +08:00
    DNS 劫持了
    Laitinlok
        159
    Laitinlok  
       2020-03-27 09:16:02 +08:00 via Android
    有沒有安裝 HTTPS everywhere?
    HelloWorld233
        160
    HelloWorld233  
       2020-03-27 09:18:21 +08:00
    我的 GitHub page 和 GitHub 主站都这样
    jjx
        161
    jjx  
       2020-03-27 09:19:18 +08:00   ❤️ 3
    浙江联通 移动 电信 全部存在问题

    牛逼在于,这个如果是个人搞的,那国家安全部门在干嘛 这么大的事情

    如果不是个人搞的, 那国家安全部门要干嘛
    WebKit
        162
    WebKit  
       2020-03-27 09:22:52 +08:00
    @augustheart #156
    @lw960105 #154
    搜这个证书的 QQ,各大媒体都有报道,应该不是有关部门
    Laitinlok
        163
    Laitinlok  
       2020-03-27 09:22:59 +08:00 via Android
    在 chrome 中 訪問 chrome://net-internals/#hsts, 加被劫持的網站到 HSTS
    LiYanHong
        164
    LiYanHong  
       2020-03-27 09:26:26 +08:00
    这么大的事,没有大规模报道,赶脚是国家队在搞鬼
    AndyZhuAZ
        165
    AndyZhuAZ  
       2020-03-27 09:29:43 +08:00
    我也是这样了,我还以为是我的 ca 失效了,仔细一看证书不对
    augustheart
        166
    augustheart  
       2020-03-27 09:30:33 +08:00
    @WebKit 已经有大媒体报道了么?求个链接看看。我昨天看的时候风平浪静,大家都在关心世界和平……所以我心底直接就冒出一股冷气……cnbeta 不算大媒体哈。
    从我个人判断,有关单位这么干太傻(不是说劫持太傻,而是说毫无理由地暴露技术力太 tm 傻逼了,从这点确实像是初学者不知轻重瞎搞),但是各种症状偏偏表明只有有关部门才能干到持续时间如此之长影响范围如此之大。
    moreant
        167
    moreant  
       2020-03-27 09:30:43 +08:00 via Android
    广东联通复现
    fancy111
        168
    fancy111  
       2020-03-27 09:30:53 +08:00
    跟 DNS 无关,作者搞的是某台服务器或者根代理。想弄假证书劫持。
    之前我已经测试过用这个方法,目前没办法绕过浏览器提示,除非能申请到假的根证书。
    再次提醒大家,https 也不是完全安全的。
    KayoAiko
        169
    KayoAiko  
       2020-03-27 09:32:24 +08:00
    廣東聯通復現
    gqbre
        170
    gqbre  
       2020-03-27 09:34:22 +08:00
    我只想知道他是怎么做到的
    cnrting
        171
    cnrting  
       2020-03-27 09:36:07 +08:00 via iPhone
    墙不墙的有区别么,多大点事
    senher
        172
    senher  
       2020-03-27 09:41:01 +08:00
    现在正常了
    yuy
        173
    yuy  
       2020-03-27 09:50:32 +08:00
    *.github.io 已恢复,*.github.com 依然劫持(浙江电信)
    LnTrx
        174
    LnTrx  
       2020-03-27 09:51:37 +08:00
    @well 返回数据包的来源 IP 理论上可以在中途被替换
    LnTrx
        175
    LnTrx  
       2020-03-27 09:54:23 +08:00
    @cnrting 很多自动化脚本都会把 github 作为下载地址,比如在配置 linux 机器的时候直接连不上,就会增加很多麻烦
    yuy
        176
    yuy  
       2020-03-27 09:54:40 +08:00
    浙江电信都正常了
    HelloWorld233
        177
    HelloWorld233  
       2020-03-27 09:56:43 +08:00
    都正常了
    testcaoy7
        178
    testcaoy7  
       2020-03-27 10:03:35 +08:00
    上海电信恢复了
    registerrr
        179
    registerrr  
       2020-03-27 10:10:19 +08:00
    河南移动正常了
    darkaess
        180
    darkaess  
       2020-03-27 10:10:41 +08:00
    恢复了
    guorui112
        181
    guorui112  
       2020-03-27 10:11:19 +08:00
    青岛联通好了
    HelloWorld233
        182
    HelloWorld233  
       2020-03-27 10:39:32 +08:00
    现在主站又挂了 还是 NET::ERR_CERT_AUTHORITY_INVALID
    dmhs
        183
    dmhs  
       2020-03-27 10:41:42 +08:00
    这里 github.com 复现,github.io 正常
    sryanyuan
        184
    sryanyuan  
       2020-03-27 10:44:40 +08:00
    苏州电信 github.com 复现
    testcaoy7
        185
    testcaoy7  
       2020-03-27 10:47:22 +08:00
    再次复现问题
    dmhs
        186
    dmhs  
       2020-03-27 10:47:29 +08:00
    目前 github 的 ip13.229.188.59
    lskjdfgl
        187
    lskjdfgl  
       2020-03-27 10:51:55 +08:00
    @WebKit 从之前的 qq 邮箱变成了 [email protected] 这个
    yason
        188
    yason  
       2020-03-27 10:55:59 +08:00
    @well BGP 劫持了解一下
    Dogergo
        189
    Dogergo  
       2020-03-27 10:58:06 +08:00   ❤️ 1
    [这个网页好像给出了更多信息]( http://www.hackdig.com/03/hack-76488.htm)
    pontus
        190
    pontus  
       2020-03-27 11:06:11 +08:00
    @cubecube 昨天也是安装 docker nvidia runtime..
    遇到了同样的问题... curl(未挂代理)获取的拿的证书和 apt 仓库的对不上..
    一脸懵逼,还以为是 apt 配置问题...最后手动导入证书 到 apt-key...
    ThinkZ
        191
    ThinkZ  
       2020-03-27 11:09:06 +08:00
    湖北电信,2020/03/27 11:07 恢复正常了
    testcaoy7
        192
    testcaoy7  
       2020-03-27 11:16:20 +08:00
    上海电信,GitHub 连接超时
    amplatzer
        193
    amplatzer  
       2020-03-27 11:18:08 +08:00
    这感觉是国家队在测试啊。
    PEIENYKYK
        194
    PEIENYKYK  
       2020-03-27 11:18:29 +08:00
    成都电信,github 超时
    s82kd92l
        195
    s82kd92l  
       2020-03-27 11:23:29 +08:00
    @yason 除了 tcp 443 以外都正常, BGP 没法这么精准吧
    iugo
        196
    iugo  
       2020-03-27 11:30:39 +08:00
    "三江一中 89 级 92 届", 如果是的话, 还挺资深的.
    moreant
        197
    moreant  
       2020-03-27 11:35:24 +08:00
    广东联通恢复了
    songsong
        198
    songsong  
       2020-03-27 11:35:49 +08:00
    州 /省 GD 地市 SZ 电子邮件地址 [email protected]
    gowk
        199
    gowk  
       2020-03-27 11:41:38 +08:00
    @python35
    我猜测 有可能是 Tro~jan 协议对 https 的滥用导致 老~大哥不得不出手了
    -----------------
    卧槽卧槽。。跟我想的一样
    noreplay
        200
    noreplay  
       2020-03-27 11:46:13 +08:00
    https://36kr.com/p/5201723 已经有人吹风了
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5380 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 07:36 · PVG 15:36 · LAX 23:36 · JFK 02:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.