V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
keinx
V2EX  ›  程序员

别用 CNZZ,有毒! entry.ximeifang.com

  •  
  •   keinx · 2017-03-26 21:42:20 +08:00 · 9692 次点击
    这是一个创建于 2783 天前的主题,其中的信息可能已经有所发展或是发生改变。

    程序员快给你代码中的 cnzz 统计代码删了,有毒!

    最近几天打开网址动不动就是 chrome 的安全警告如下图: 一开始没怎么注意,因为知道 chrome 升级快,可能是证书的问题,点了下面的《详细信息》《忽略》

    然后不停的是这个页面,我就开始怀疑是不是被 dns 劫持了,于是查看了 dns 发现没有毛病,各种换 DNS ,依旧有这个报警。

    然后我就开始对报警的页面查看源代码,根据 entry.ximeifang.com 线索,发现是 cnzz 的代码被感染了。如下图:

    然后我又对这个域名的所有者信息查询到如下图:

    打开这些网址发现网站是这样的,基本确定是一个人!

    然后多次测试发现只要是带有 cnzz 统计代码的基本上都中招了,不知道是 cnzz 内部的问题还是第三人劫持,看来大家为了推广 https 也是够拼的!

    第 1 条附言  ·  2017-03-26 22:28:27 +08:00

    基本确定是http劫持,但是因为很多网站都用的是cnzz的http代码,所以建议大家本地hosts上屏蔽cnzz.com下的域名。如果是站长程序员,请更新你的统计代码,走https

    59 条回复    2017-03-28 16:48:05 +08:00
    shiny
        1
    shiny  
       2017-03-26 21:44:00 +08:00
    除了 DNS 污染还有 http 劫持。劫持统计网站的 js 是很常见的手段。
    keinx
        2
    keinx  
    OP
       2017-03-26 21:45:56 +08:00
    @shiny
    DNS 劫持应该不是,因为我这边换了好几家 DNS (清了 DNS 缓存),依旧有,运营商劫持的话也应该不是,我在网上找这个问题,发现最近也有其他地区联通用户中招,我是电信,而且地区也不一样。
    不清楚是 cnzz 还是机房被入侵。
    qiayue
        3
    qiayue  
       2017-03-26 21:49:18 +08:00
    楼主试试 qiuyumi.com ,我这里不是最新版 chrome
    keinx
        4
    keinx  
    OP
       2017-03-26 21:51:07 +08:00
    @qiayue
    ![]( )
    realzsy
        5
    realzsy  
       2017-03-26 21:54:21 +08:00 via Android
    mark ,看后续大家讨论情况
    1265578519
        6
    1265578519  
       2017-03-26 22:15:04 +08:00
    你自己网站服务器问题,别怪 cnzz
    nfroot
        7
    nfroot  
       2017-03-26 22:15:11 +08:00
    @keinx
    @qiayue
    @shiny
    @realzsy

    可以确定的是, keinx 和 qiayue 的站点在调用 js 文件的时候是 http 而不是 https ,所以基本考虑原因是 JS 被劫持了。

    可以试试我的站点 http://t.cn/R6JDL20

    我这里测试你们的都没问题
    nfroot
        8
    nfroot  
       2017-03-26 22:16:09 +08:00
    和你们不同的是,我的统计代码都走 https 渠道
    keinx
        9
    keinx  
    OP
       2017-03-26 22:24:21 +08:00
    @1265578519
    和我的网站服务器有毛线关系
    我访问的网站好多都是,我自己的网站走的 https 没毛病
    明显是要么有人恶意给 cnzz http 里面劫持加了代码,要么就是 cnzz 自己加了代码
    keinx
        10
    keinx  
    OP
       2017-03-26 22:25:29 +08:00
    @nfroot
    谢谢,已经确定是 http 劫持,但是应该不是运营商,因为我找了好几个样本,来自不同地区的不同运营商
    所有的 https 都没有问题
    victsdo2005
        11
    victsdo2005  
       2017-03-26 22:32:57 +08:00
    个人觉得是 hosts 的问题吧。。。
    以前用 chrome 很久都没遇到过安全警报
    换 hosts 后时不时就会有
    nfroot
        12
    nfroot  
       2017-03-26 23:01:05 +08:00
    @keinx 我擦,才发现博客被 hacked 了,一直都没注意到 = =。难怪之前数据库空了好多……查查去……
    palytoxin
        14
    palytoxin  
       2017-03-26 23:16:41 +08:00 via Android
    14 年我的 cnzz 也被劫持,问了客服没办法。最后弃用了
    RobertYang
        15
    RobertYang  
       2017-03-26 23:23:20 +08:00 via Android
    百度统计也会被劫持为广告 (移动端)
    HLT
        16
    HLT  
       2017-03-26 23:25:36 +08:00
    应该就是劫持的
    dong3580
        17
    dong3580  
       2017-03-26 23:30:20 +08:00 via Android
    @crab
    3ks
    有更新了一波。
    你怎么都是指向 0?我都是 127
    cenxun
        18
    cenxun  
       2017-03-26 23:50:35 +08:00 via Android
    jb51 偶尔会出现,不是运营商劫持么,上海联通
    Chalice
        19
    Chalice  
       2017-03-26 23:57:29 +08:00
    http 劫持了,我这里也复现了
    ![]( )
    miaomiao888
        20
    miaomiao888  
       2017-03-27 01:41:28 +08:00
    @dong3580 0.0.0.0 相当于直接返回空域名 127 在浏览器上可能还需要一点时间连接
    skylancer
        21
    skylancer  
       2017-03-27 02:21:15 +08:00
    @1265578519 回帖前看清楚帖子是好习惯
    Vicer
        22
    Vicer  
       2017-03-27 02:53:21 +08:00 via Android
    @crab 这波稳~
    Osk
        23
    Osk  
       2017-03-27 04:04:52 +08:00 via Android
    联通,上上周就遇到过, *.ximeifang.com

    我写的是 address=/xyz.com/ dnsmasq 会返回不存在的域名
    darrenfang
        24
    darrenfang  
       2017-03-27 07:26:38 +08:00 via iPhone
    上周刚升级到 https
    dong3580
        25
    dong3580  
       2017-03-27 08:28:38 +08:00 via Android
    @miaomiao888
    感谢普及知识
    benbenzhangqi
        26
    benbenzhangqi  
       2017-03-27 09:07:27 +08:00
    @keinx 我这边正常访问
    MuaGeWang
        27
    MuaGeWang  
       2017-03-27 09:18:02 +08:00
    感谢提醒
    yidinghe
        28
    yidinghe  
       2017-03-27 09:24:33 +08:00 via Android
    CNZZ 是不是中国智障的意思蛤。。。。
    klwlkj
        29
    klwlkj  
       2017-03-27 09:24:45 +08:00
    Adblock 好像默认已经屏蔽了各种统计
    missqso
        30
    missqso  
       2017-03-27 09:39:38 +08:00 via iPhone
    wp 博客统计的话有何推荐啊
    crazykuma
        31
    crazykuma  
       2017-03-27 09:51:58 +08:00
    表示我的统计代码没问题
    denghongcai
        32
    denghongcai  
       2017-03-27 09:55:34 +08:00
    确定是劫持吗?我开 VPN 、换个网络都有问题,总不能是骨干网的 http 劫持吧
    keinx
        33
    keinx  
    OP
       2017-03-27 09:58:40 +08:00
    @denghongcai
    难道是 cnzz 服务器被黑
    zrj766
        34
    zrj766  
       2017-03-27 10:10:06 +08:00 via Android
    早就换百度了, cnzz 被收购了以后各种抽风
    visonnn
        35
    visonnn  
       2017-03-27 10:10:35 +08:00
    cnzz 是个大坑
    zangev5
        36
    zangev5  
       2017-03-27 11:01:03 +08:00
    哈哈哈,我也是被提示安全错误了。全局的 VPN 模式下诶。
    woshinide300yuan
        37
    woshinide300yuan  
       2017-03-27 11:05:40 +08:00
    @RobertYang 你这么说的确是诶~ 我有时候刷博客就出来一个底部悬浮。 百度的 HTTPS 没用吗都= =
    huxiweng
        38
    huxiweng  
       2017-03-27 11:15:38 +08:00
    好像没看到楼主说的, http://openbra.in

    ![屏幕快照 2017-03-27 11.14.39.png]( https://ooo.0o0.ooo/2017/03/27/58d883b9930f9.png)
    LanFomalhaut
        39
    LanFomalhaut  
       2017-03-27 11:17:05 +08:00
    运营商 HTTP 劫持只劫持 JS 文件这种是最恶心的..( https 大法好)
    MuaGeWang
        40
    MuaGeWang  
       2017-03-27 11:17:24 +08:00   ❤️ 1
    应该是部分地区的劫持
    我把 http://c.cnzz.com/core.php?web_id=1256960712 放入 www.17ce.com
    部分地区返回的结果大小是 574B ,和楼主截图一样。
    大小为 763B 的地区未被劫持。
    lyragosa
        41
    lyragosa  
       2017-03-27 11:20:54 +08:00
    我这里是用的 https 版的 cnzz ,没有发现被劫持
    honeycomb
        42
    honeycomb  
       2017-03-27 11:24:09 +08:00 via Android
    @keinx dns 劫持并不是运营商劫持的唯一办法, HTTP 会话劫持也是常用手段
    lyragosa
        43
    lyragosa  
       2017-03-27 11:29:10 +08:00
    @MuaGeWang 奇怪,我也用 cnzz 的,为啥我的统计代码就有 1k 多…… https 也是如此
    keinx
        44
    keinx  
    OP
       2017-03-27 11:31:59 +08:00
    @lyragosa
    https 是安全的
    keinx
        45
    keinx  
    OP
       2017-03-27 11:33:23 +08:00
    @honeycomb
    明白这个道理,但是这次 cnzz 这个是不是运营商所为不好说,因为据我统计有联通的有电信的,而且地区也不一样。
    keinx
        46
    keinx  
    OP
       2017-03-27 11:34:02 +08:00
    @MuaGeWang
    你能确定这个是运营商所为还是 cnzz 那边的问题吗?
    taozhijiangscu
        47
    taozhijiangscu  
       2017-03-27 11:42:45 +08:00
    https 正常, 23333
    morethansean
        48
    morethansean  
       2017-03-27 11:46:43 +08:00
    @denghongcai
    @keinx 曾几何时 cdn 回源的时候被运营商劫持导致 cdn 上的文件就是被劫持的……不管你怎么挂代理都还是那样……
    taozhijiangscu
        49
    taozhijiangscu  
       2017-03-27 12:31:30 +08:00
    回源也可以 https 啊
    ragnaroks
        50
    ragnaroks  
       2017-03-27 12:39:52 +08:00
    cnzz 不就是因为被劫持的多了所以搞了 https?
    RobertYang
        51
    RobertYang  
       2017-03-27 13:40:02 +08:00 via Android
    @woshinide300yuan 没用,应该是统计 js 没有 hsts 的锅?最明显的例子是 it 之家,联通电信均有出现
    benbenlang
        52
    benbenlang  
       2017-03-27 15:49:01 +08:00
    看了下没问题啊。。。应该不是 cnzz 的问题,老牌子统计了,比百度省心。
    dot
        53
    dot  
       2017-03-27 16:44:13 +08:00
    全站 HTTPS 可避免…… CNZZ 用了很久了,貌似一直也没啥问题
    morethansean
        54
    morethansean  
       2017-03-27 17:35:45 +08:00
    @taozhijiangscu 但是回源也可以选择协议跟随啊……
    Chalice
        55
    Chalice  
       2017-03-27 17:37:22 +08:00
    @MuaGeWang 我这里是随机劫持
    b7898585
        56
    b7898585  
       2017-03-27 22:15:31 +08:00
    <script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_4906525'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s96.cnzz.com/stat.php%3Fid%3D4906525%26show%3Dpic1' type='text/javascript'%3E%3C/script%3E"));</script>
    这行算 http 还是 https ?
    zgzh
        57
    zgzh  
       2017-03-27 23:29:34 +08:00
    @crab 收下了~谢
    Soar360
        58
    Soar360  
       2017-03-28 12:10:06 +08:00
    换 HTTPS 吧。
    bianke
        59
    bianke  
       2017-03-28 16:48:05 +08:00
    什么劫持不劫持,根本就是 cnzz 自己搞的木马,估计这家公司免费统计成本太高,老板最近穷疯了,卖这种流量。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5500 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 06:44 · PVG 14:44 · LAX 22:44 · JFK 01:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.