Hmily 发表于 2017-7-7 18:35

【公告】访问吾爱破解被劫持到私服页面是“wayos维盟路由器”所为!

访问吾爱破解首页被劫持到私服页面是“wayos维盟路由器”所为!

起因:
最近几天,陆续在论坛、邮箱、微博、微信公众号等渠道收到很多用户反馈,访问吾爱首页的时候直接显示私服网站内容或者空白内容,通过刷新或者清除缓存都无法解决。


现象:
访问论坛首页http://www.52pojie.cn,显示私服页面
https://attach.52pojie.cn/forum/201707/07/003632kqqqbz6lpn1n9qtl.png

排查:
1、一眼看去,感觉就是运营商劫持,所以先让反馈的同学们用诊断工具进行诊断,从诊断日志上看不太像DNS劫持,IP解析也正常,http返回的状态也是200,但实际相应的http头已经不是我们服务器返回的内容了,劫持返回的http头内容如下:

HTTP/1.1 200 OK
Content-Type: text/html;charset=gb2312
Pragma: no-cache
Cache-Control: no-cache
Connection: close
Server: wys
Content-Length: 562
明显看起来就是被劫持替换成其他劫持内容了,就是上面看到的私服广告页面(上面标红的内容是一个关键,后面会说到)。

2、今天通过远程定位发现劫持后的网页源代码如下:

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=gb2312"><TITLE></TITLE><style>body {overflow: hidden; height: 100%; margin: 0px;}</style></HEAD><BODY><iframe id="wys_gg_http_index_jsp" style="z-index:-1;visibility: inherit; width: 100%; height: 100%;" src="http://jl2y.emu-sz.com:7066/adv/202.jsp?uid=HYG-1000_RG361612157097DA4E&ip=172.16.20.62&mac=B0-25-AA-1E-23-4E&js=0&surl=www.52pojie.cn/" frameBorder=0 scrolling="auto"></iframe></BODY></HTML>
这个劫持还把用户的路由器信息、IP地址、MAC地址和劫持的网址都上传了。

3、通过搜索Server: wys和wys_gg_http_index_jsp关键词信息,我们发现了很多相同劫持方法受害者发的帖子:
https://www.v2ex.com/t/96674
https://www.v2ex.com/t/78973
http://bbs.pxecn.com/thread-116285-1-1.html

看来这种劫持方式已经有很多年了,只是最近几天对吾爱下手了,顺藤摸瓜,发现这一切背后的黑手来自维盟路由器,也叫wayos(http://www.wayos.com),前面http头上的wys就是它们的缩写,在搜索引擎中搜索“wayos 劫持”,会看到非常多的用户反馈,通过搜索发现freebuf上还有一篇对路由器固件的简要技术分析http://www.freebuf.com/articles/terminal/113487.html ,D-Link路由器也用了wayos的固件,导致出现私服劫持,这次劫持的锅不用运营商背。

证实:
有了上面的基本分析,能确定是维盟路由器所为,为了落实我们让受害用户通过维盟网站上提供的客服电话进行反馈,维盟客服人员在电话中也毫不避讳的确认会劫持到私服网站,让用户打开路由器的远程功能,短短几秒钟就帮用户解决了劫持问题,通过多个用户验证,官方都通过设置路由器的方式,关闭了劫持,我们官方也进行了电话投诉咨询,客服给予的答复也是会劫持,但只能通过手动帮用户关闭路由器劫持功能,没有权限设置云端随时想劫持哪个网站的权限功能,只能尝试向“领导”反馈解决。

影响:
目前已经收到十几例反馈,并且劫持并不是随机,而是持续劫持,无法访问论坛,所以影响非常大,并且绝大多数都是小众宽带用户,小区宽带使用维盟路由器的概率很高,有的被劫持同学发现自己使用的不是维盟路由器,但也被劫持了,原因就是上层小区用了维盟路由器做分发(可以试试直接拨号来测试是否劫持,如果还劫持说明是上层路由器搞的)。劫持网站弹广告都小事,上传用户信息也不算太大事,但不包准出现恶意盗取用户密码网银设置钓鱼网站等恶意行为就是大事了,选择路由器需谨慎。

解决方案:
1、如果你用了维盟路由器,请拨打维盟客服热线 :4006125805 (09:00-22:00) http://www.wayos.com/about/contact.html ,告知客服路由器劫持了吾爱破解论坛www.52pojie.cn,官方客服会很热情的帮你解决问题。
2、如果你是小区这种小众宽带,也请拨打维盟客服热线 :4006125805 (09:00-22:00) http://www.wayos.com/about/contact.html ,告知客服路由器劫持了吾爱破解论坛www.52pojie.cn,看客服是否能直接处理,如果不行需要小区宽带的运营商,请和办理宽带的小区运营商来联系,让他们看这个帖子,通过联系客服来解决。
3、目前只有主页被劫持,其他页面还未劫持,临时可以通过http://www.52pojie.cn/forum.php页面访问。
4、我们会尽快上SSL,最近维护就是在做这方面的修改和测试,目前除了主站,其他二级域名已经全部SSL化了。

xyz1125 发表于 2017-7-7 23:49

坐等全站https

Hmily 发表于 2017-7-7 19:06

longmarchw 发表于 2017-7-7 19:01
关键是,还有哪些品牌用到这种固件?都知道漏洞还不修复……监守自盗!!

这不是漏洞,就是别人利用来劫持刷广告的渠道,靠这个挣钱了。

likang 发表于 2017-7-7 21:20

可不可以顺便上升到http/2,减少些网络延迟。

vikaro 发表于 2017-7-7 19:01

我就是一个受害者,最近都访问不了吾爱论坛,吾爱通过邮件告知原因之后致电维盟,问了我的路由器型号和IP之后,直接远程解除了劫持,这样的路由器,还有谁敢用?

烟99 发表于 2017-7-7 18:35

这种厂商太可恨了,建议H大举报给工信部

cunzher 发表于 2017-7-7 18:37

可恶啊,简直无耻

H夜 发表于 2017-7-7 18:37

本帖最后由 H夜 于 2017-7-7 18:39 编辑

膜拜老大!终于找出原因了{:301_1006:}

mengzhenhai 发表于 2017-7-7 18:47


马扎准备好了,前排出售瓜子饮料矿泉水,面包火腿方便面,都坐好坐好{:1_926:}   

出现问题的同学可以按照帖子中给出的解决方法来进行解决    {:17_1089:}   

无情绝恋 发表于 2017-7-7 18:57

虽然我这里没有出现这种问题,但是这路由器也太坑了吧

王美君 发表于 2017-7-7 18:59

黑心的商人啊

longmarchw 发表于 2017-7-7 19:01

关键是,还有哪些品牌用到这种固件?都知道漏洞还不修复……监守自盗!!
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 【公告】访问吾爱破解被劫持到私服页面是“wayos维盟路由器”所为!