程序员快给你代码中的 cnzz 统计代码删了,有毒!
最近几天打开网址动不动就是 chrome 的安全警告如下图: 一开始没怎么注意,因为知道 chrome 升级快,可能是证书的问题,点了下面的《详细信息》《忽略》
然后不停的是这个页面,我就开始怀疑是不是被 dns 劫持了,于是查看了 dns 发现没有毛病,各种换 DNS ,依旧有这个报警。
然后我就开始对报警的页面查看源代码,根据 entry.ximeifang.com 线索,发现是 cnzz 的代码被感染了。如下图:
然后我又对这个域名的所有者信息查询到如下图:
打开这些网址发现网站是这样的,基本确定是一个人!
然后多次测试发现只要是带有 cnzz 统计代码的基本上都中招了,不知道是 cnzz 内部的问题还是第三人劫持,看来大家为了推广 https 也是够拼的!
基本确定是http劫持,但是因为很多网站都用的是cnzz的http代码,所以建议大家本地hosts上屏蔽cnzz.com下的域名。如果是站长程序员,请更新你的统计代码,走https
1
shiny 2017-03-26 21:44:00 +08:00
除了 DNS 污染还有 http 劫持。劫持统计网站的 js 是很常见的手段。
|
2
keinx OP @shiny
DNS 劫持应该不是,因为我这边换了好几家 DNS (清了 DNS 缓存),依旧有,运营商劫持的话也应该不是,我在网上找这个问题,发现最近也有其他地区联通用户中招,我是电信,而且地区也不一样。 不清楚是 cnzz 还是机房被入侵。 |
3
qiayue 2017-03-26 21:49:18 +08:00
楼主试试 qiuyumi.com ,我这里不是最新版 chrome
|
5
realzsy 2017-03-26 21:54:21 +08:00 via Android
mark ,看后续大家讨论情况
|
6
1265578519 2017-03-26 22:15:04 +08:00
你自己网站服务器问题,别怪 cnzz
|
7
nfroot 2017-03-26 22:15:11 +08:00
@keinx
@qiayue @shiny @realzsy 可以确定的是, keinx 和 qiayue 的站点在调用 js 文件的时候是 http 而不是 https ,所以基本考虑原因是 JS 被劫持了。 可以试试我的站点 http://t.cn/R6JDL20 我这里测试你们的都没问题 |
8
nfroot 2017-03-26 22:16:09 +08:00
和你们不同的是,我的统计代码都走 https 渠道
|
9
keinx OP @1265578519
和我的网站服务器有毛线关系 我访问的网站好多都是,我自己的网站走的 https 没毛病 明显是要么有人恶意给 cnzz http 里面劫持加了代码,要么就是 cnzz 自己加了代码 |
10
keinx OP |
11
victsdo2005 2017-03-26 22:32:57 +08:00
个人觉得是 hosts 的问题吧。。。
以前用 chrome 很久都没遇到过安全警报 换 hosts 后时不时就会有 |
13
crab 2017-03-26 23:07:26 +08:00 3
address=/bshare.cn/0.0.0.0
address=/bashare.cn/0.0.0.0 address=/3001.net/0.0.0.0 address=/pic.x.soso.com/0.0.0.0 address=/pingma.qq.com/0.0.0.0 address=/51.la/0.0.0.0 address=/umeng.com/0.0.0.0 address=/cnzz.com/0.0.0.0 address=/tajs.qq.com/0.0.0.0 address=/nsclick.baidu.com/0.0.0.0 address=/doubleclick.net/0.0.0.0 address=/beacon.sina.com.cn/0.0.0.0 address=/sax.sina.cn/0.0.0.0 address=/sj.qq.com/0.0.0.0 address=/s.pcapps.qq.com/0.0.0.0 |
14
palytoxin 2017-03-26 23:16:41 +08:00 via Android
14 年我的 cnzz 也被劫持,问了客服没办法。最后弃用了
|
15
RobertYang 2017-03-26 23:23:20 +08:00 via Android
百度统计也会被劫持为广告 (移动端)
|
16
HLT 2017-03-26 23:25:36 +08:00
应该就是劫持的
|
18
cenxun 2017-03-26 23:50:35 +08:00 via Android
jb51 偶尔会出现,不是运营商劫持么,上海联通
|
19
Chalice 2017-03-26 23:57:29 +08:00
http 劫持了,我这里也复现了
![]( ) |
20
miaomiao888 2017-03-27 01:41:28 +08:00
@dong3580 0.0.0.0 相当于直接返回空域名 127 在浏览器上可能还需要一点时间连接
|
21
skylancer 2017-03-27 02:21:15 +08:00
@1265578519 回帖前看清楚帖子是好习惯
|
23
Osk 2017-03-27 04:04:52 +08:00 via Android
|
24
darrenfang 2017-03-27 07:26:38 +08:00 via iPhone
上周刚升级到 https
|
25
dong3580 2017-03-27 08:28:38 +08:00 via Android
@miaomiao888
感谢普及知识 |
26
benbenzhangqi 2017-03-27 09:07:27 +08:00
@keinx 我这边正常访问
|
27
MuaGeWang 2017-03-27 09:18:02 +08:00
感谢提醒
|
28
yidinghe 2017-03-27 09:24:33 +08:00 via Android
CNZZ 是不是中国智障的意思蛤。。。。
|
29
klwlkj 2017-03-27 09:24:45 +08:00
Adblock 好像默认已经屏蔽了各种统计
|
30
missqso 2017-03-27 09:39:38 +08:00 via iPhone
wp 博客统计的话有何推荐啊
|
31
crazykuma 2017-03-27 09:51:58 +08:00
表示我的统计代码没问题
|
32
denghongcai 2017-03-27 09:55:34 +08:00
确定是劫持吗?我开 VPN 、换个网络都有问题,总不能是骨干网的 http 劫持吧
|
33
keinx OP @denghongcai
难道是 cnzz 服务器被黑 |
34
zrj766 2017-03-27 10:10:06 +08:00 via Android
早就换百度了, cnzz 被收购了以后各种抽风
|
35
visonnn 2017-03-27 10:10:35 +08:00
cnzz 是个大坑
|
36
zangev5 2017-03-27 11:01:03 +08:00
哈哈哈,我也是被提示安全错误了。全局的 VPN 模式下诶。
|
37
woshinide300yuan 2017-03-27 11:05:40 +08:00
@RobertYang 你这么说的确是诶~ 我有时候刷博客就出来一个底部悬浮。 百度的 HTTPS 没用吗都= =
|
38
huxiweng 2017-03-27 11:15:38 +08:00
好像没看到楼主说的, http://openbra.in
![屏幕快照 2017-03-27 11.14.39.png]( https://ooo.0o0.ooo/2017/03/27/58d883b9930f9.png) |
39
LanFomalhaut 2017-03-27 11:17:05 +08:00
运营商 HTTP 劫持只劫持 JS 文件这种是最恶心的..( https 大法好)
|
40
MuaGeWang 2017-03-27 11:17:24 +08:00 1
应该是部分地区的劫持
我把 http://c.cnzz.com/core.php?web_id=1256960712 放入 www.17ce.com 部分地区返回的结果大小是 574B ,和楼主截图一样。 大小为 763B 的地区未被劫持。 |
41
lyragosa 2017-03-27 11:20:54 +08:00
我这里是用的 https 版的 cnzz ,没有发现被劫持
|
45
keinx OP @honeycomb
明白这个道理,但是这次 cnzz 这个是不是运营商所为不好说,因为据我统计有联通的有电信的,而且地区也不一样。 |
47
taozhijiangscu 2017-03-27 11:42:45 +08:00
https 正常, 23333
|
48
morethansean 2017-03-27 11:46:43 +08:00
|
49
taozhijiangscu 2017-03-27 12:31:30 +08:00
回源也可以 https 啊
|
50
ragnaroks 2017-03-27 12:39:52 +08:00
cnzz 不就是因为被劫持的多了所以搞了 https?
|
51
RobertYang 2017-03-27 13:40:02 +08:00 via Android
@woshinide300yuan 没用,应该是统计 js 没有 hsts 的锅?最明显的例子是 it 之家,联通电信均有出现
|
52
benbenlang 2017-03-27 15:49:01 +08:00
看了下没问题啊。。。应该不是 cnzz 的问题,老牌子统计了,比百度省心。
|
53
dot 2017-03-27 16:44:13 +08:00
全站 HTTPS 可避免…… CNZZ 用了很久了,貌似一直也没啥问题
|
54
morethansean 2017-03-27 17:35:45 +08:00
@taozhijiangscu 但是回源也可以选择协议跟随啊……
|
56
b7898585 2017-03-27 22:15:31 +08:00
<script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_4906525'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s96.cnzz.com/stat.php%3Fid%3D4906525%26show%3Dpic1' type='text/javascript'%3E%3C/script%3E"));</script>
这行算 http 还是 https ? |
58
Soar360 2017-03-28 12:10:06 +08:00
换 HTTPS 吧。
|
59
bianke 2017-03-28 16:48:05 +08:00
什么劫持不劫持,根本就是 cnzz 自己搞的木马,估计这家公司免费统计成本太高,老板最近穷疯了,卖这种流量。。。
|