V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wilbur
V2EX  ›  问与答

WARNING: malicious javascript detected on this domain

  •  
  •   wilbur · 2015-03-27 12:51:59 +08:00 · 7075 次点击
    这是一个创建于 3548 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天翻墙看一些网站(未被和谐的网站)的时候,会不停的弹alert警告,内容就是WARNING: malicious javascript detected on this domain,用firebug看了下代码,貌似是网页被插入了如下代码

    <script async="" src="https://github.com/cn-nytimes/">
    alert("WARNING: malicious javascript detected on this domain")
    </script>

    不是我一个人这样吧?

    53 条回复    2015-03-28 22:18:39 +08:00
    lgs821
        1
    lgs821  
       2015-03-27 12:54:24 +08:00
    今天好像很多都出现这个额问题了
    egen
        2
    egen  
       2015-03-27 12:55:28 +08:00 via iPhone
    我今天也遇到,在访问peopel.com.cn看新闻的时候,我用的是ss.com的服务,难道和这个有关?
    wilbur
        3
    wilbur  
    OP
       2015-03-27 12:57:25 +08:00
    貌似许多人都遇到了,这个帖子里说是因为github受到ddos攻击引起的
    wilbur
        4
    wilbur  
    OP
       2015-03-27 12:57:42 +08:00
    devz1984
        5
    devz1984  
       2015-03-27 12:58:47 +08:00
    遇到了。

    我也是在翻墙的时候看到的。

    百度, 煎蛋,
    devz1984
        6
    devz1984  
       2015-03-27 12:59:52 +08:00
    @wilbur

    还是搞不明白啊, github受到攻击, 为啥这么多国内网站会被波及呢?

    百度, 煎蛋, 斗鱼和github有啥关系。
    ooxxcc
        7
    ooxxcc  
       2015-03-27 13:01:14 +08:00
    一阁 @yegle · 18m 18 minutes ago
    看起来似乎是这样的:国内好多网站上嵌入的某个js会自动载入 http://github.com/greatfire/http://githu.com/cn-nytimes/ ,达到DDoS效果。GitHub看到大量流量和referer信息后决定这两个URL返回javascript
    sdysj
        8
    sdysj  
       2015-03-27 13:02:21 +08:00
    这下牛大法了。。。
    ooxxcc
        9
    ooxxcc  
       2015-03-27 13:04:42 +08:00
    然后那个页面是百度联盟的广告JS

    后来的情况是国内正常,翻墙返回恶意js,不过无法稳定复现

    目前不清楚是GFW搞的还是百度搞的
    wilbur
        10
    wilbur  
    OP
       2015-03-27 13:05:24 +08:00
    应该这样把,原来还可以这样ddos,新技能get。
    devz1984
        11
    devz1984  
       2015-03-27 13:07:24 +08:00
    @ooxxcc

    有点儿明白了, 就是利用嵌入脚本到其他大流量网站ddos github这两个地址。

    然后github 返回的 alert代码, 所以我们才看到的alert提示的。
    phoeagon
        12
    phoeagon  
       2015-03-27 13:11:39 +08:00   ❤️ 1
    不過不管是國際國內開不開代理開不開Adblock我都不能復現。。。
    bingu
        13
    bingu  
       2015-03-27 13:12:32 +08:00
    devz1984
        14
    devz1984  
       2015-03-27 13:14:32 +08:00
    @ooxxcc

    是不是所有挂的百度广告联盟的都影响了。


    利用百度的广告联盟进行ddos。
    ooxxcc
        15
    ooxxcc  
       2015-03-27 13:14:36 +08:00
    ooxxcc
        16
    ooxxcc  
       2015-03-27 13:14:56 +08:00
    @devz1984 确切的说,是百度联盟网站,这个的使用量相当大……
    ooxxcc
        17
    ooxxcc  
       2015-03-27 13:15:12 +08:00
    @devz1984 百度联盟网站->百度联盟广告
    ooxxcc
        18
    ooxxcc  
       2015-03-27 13:16:10 +08:00
    @devz1984 和地区有关,我的8台服务器有两台访问百度联盟可以得到恶意代码,剩下都是正常
    bibizhang
        19
    bibizhang  
       2015-03-27 13:17:19 +08:00
    我也是
    Twinkle
        20
    Twinkle  
       2015-03-27 13:17:37 +08:00
    简直了
    lliioogg
        21
    lliioogg  
       2015-03-27 13:18:26 +08:00
    刚才我妹问了我半天。。
    ooxxcc
        22
    ooxxcc  
       2015-03-27 13:18:46 +08:00
    排查了一下不是百度搞得,就是GFW替换了返回内容。。。。太强大了
    ooxxcc
        23
    ooxxcc  
       2015-03-27 13:19:33 +08:00
    xieyudi1990
        24
    xieyudi1990  
       2015-03-27 13:22:44 +08:00   ❤️ 1
    Comcast线路, 有这个问题.
    用搬瓦工的HE线路, 没有这个问题.

    抓包发现是百度站长统计js脚本里被插入了奇怪的东西, 然后会执行
    https://github.com/greatfire/

    https://github.com/cn-nytimes/
    上面的那个alert.

    临时解决办法:
    "1 27.0.0.1 hm.baidu.com" >> /etc/hosts

    话说不知道这个事和 greatfire 有关. 我觉得这种事, 不管你的政治立场, 干扰他人的通信这种行为和TG没什么两样.
    devz1984
        25
    devz1984  
       2015-03-27 13:23:01 +08:00
    @ooxxcc

    我感觉不像。

    因为如果是墙搞的, 这样岂不是等于给github返回任何内容的机会了?

    ddos一时半会儿也搞不死的。 大量的抵达率。
    sallowdish
        26
    sallowdish  
       2015-03-27 13:26:59 +08:00
    不需要翻墙,海外访问国内domain同样触发,应该是单纯只要加载JS就跪。理论上可以修改本地hosts屏蔽上面提到的两个url,但还没试验过
    sallowdish
        27
    sallowdish  
       2015-03-27 13:28:34 +08:00
    囧,上面@xieyudi1990 已经提到hosts了,请无视
    sxlderek
        28
    sxlderek  
       2015-03-27 13:40:19 +08:00
    身在香港,访问百道知道也触发。
    littlewey
        29
    littlewey  
       2015-03-27 13:52:51 +08:00
    身在台湾,访问百度的子站没有触发这个js。
    jonirrings
        30
    jonirrings  
       2015-03-27 13:55:12 +08:00
    @ooxxcc 有人黑了某几家CDN的意思么?
    ooxxcc
        31
    ooxxcc  
       2015-03-27 13:58:02 +08:00
    @jonirrings 不,GFW http劫持
    xieyudi1990
        32
    xieyudi1990  
       2015-03-27 14:00:28 +08:00
    @xieyudi1990 更正下, HE线路也会有问题.

    刚刚回复正常了, TTL也稳定下来了.
    lollxxox
        33
    lollxxox  
       2015-03-27 14:02:04 +08:00
    http://cbjs.baidu.com/js/m.js

    是用公共库来 DDOS GitHub 的几个敏感词 repo 吧.....

    还能这么玩儿...
    otakustay
        34
    otakustay  
       2015-03-27 15:21:42 +08:00
    这个js是百度的广告出口(以前就是我写的,最近一年没怎么管了……),脚本里面本身是不会有DDOS这么无聊的事儿的,至于哪家劫持的,天知道- -
    kacong
        35
    kacong  
       2015-03-27 15:54:13 +08:00
    天都不知道奥,天上面的人知道。不过这个手法有点太恶心了。
    xbonline
        36
    xbonline  
       2015-03-27 16:53:13 +08:00
    我擦 怪不得之前中午手机开网页弹出一个WARNING 我还以为自动装了啥垃圾APP
    rykka
        37
    rykka  
       2015-03-27 17:05:46 +08:00
    这劫持是为了达到什么目的???

    Because we can????
    Showfom
        38
    Showfom  
       2015-03-27 17:15:09 +08:00
    @egen 和我们无关啦,是百度的 js 劫持了 喵的
    est
        39
    est  
       2015-03-27 17:19:21 +08:00
    @otakustay 所以说,tg招了一群中专生,把全世界500强和国内几大互联网山头搞得灰头土脸的

    tg想要网络主权,也不是不可以,但是用这种下三烂的招数真是够可以的了。
    wilbur
        40
    wilbur  
    OP
       2015-03-27 17:52:58 +08:00
    wooyun上有相关的分析文章 http://drops.wooyun.org/papers/5398
    bombless
        41
    bombless  
       2015-03-27 19:23:18 +08:00
    搞不懂下的什么棋……不过TG不乏聪明人,不管它的目的是什么,说不定会得逞……
    bombless
        42
    bombless  
       2015-03-27 19:26:41 +08:00
    我在想会不会是这样:缺人手搞国产软件,领导了解到很多人花业余时间掺和到各种外国开源软件上,想,这TM不是浪费我国的软件人才?必须遏制这股邪风……于是……
    (啊,我的脑洞
    chengzhoukun
        43
    chengzhoukun  
       2015-03-27 19:53:10 +08:00
    事情做的太恶心
    egen
        44
    egen  
       2015-03-27 21:25:58 +08:00
    @Showfom 看到后续讨论了,万恶的 gfw
    monnand
        45
    monnand  
       2015-03-28 04:19:22 +08:00
    github的回应是把对应的url修改成一条javascript,弹出窗口警告用户。我觉得这么做算是很地道了。我要是github,直接把所有攻击再转向cnnic或者.gov.cn的网站,要么就是弹出窗口显示各种TG不愿意看到的真相。
    dndx
        46
    dndx  
       2015-03-28 07:09:06 +08:00
    @monnand 然后就有堂而皇之的理由屏蔽 Github 了
    monnand
        47
    monnand  
       2015-03-28 07:14:23 +08:00
    @dndx 想屏蔽github也根本不需要理由,就直接说境外敌对势力就好。纽约时报不就是个典型境外敌对势力么。风头紧的时候要封个网站真是用不着找什么理由。

    现在github的现状是,要么被封,要么天天被土共这么恶心着。所以说,*我要是github*,我估计就掀桌子不干了。可以直接找greatfire和纽约时报,问他们想在页面上放点啥,然后直接在用户窗口上弹出来包含更多内容的警告。
    thedarkside
        48
    thedarkside  
       2015-03-28 09:53:30 +08:00
    tg是指??求科普~~~~~~
    DuXing
        49
    DuXing  
       2015-03-28 14:11:28 +08:00
    慢慢的,一个规律浮现出来:
    凡是自由的,都是我们要反对的。。。
    yaxin
        50
    yaxin  
       2015-03-28 14:36:48 +08:00
    @est TG是什么意思?
    monnand
        51
    monnand  
       2015-03-28 18:01:48 +08:00 via Android   ❤️ 1
    @thedarkside
    @yaxin

    TG 土共
    est
        52
    est  
       2015-03-28 18:42:08 +08:00   ❤️ 2
    @yaxin
    @thedarkside
    @monnand

    T就是锤子,G就是镰刀。合起来就是 tg == ☭
    zjgood
        53
    zjgood  
       2015-03-28 22:18:39 +08:00 via Android
    真棒!新技能get
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1059 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:15 · PVG 02:15 · LAX 10:15 · JFK 13:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.