京东劫持，事情比我想象的大，并不是地方运营商所为

蓝洛水深

本帖最后由 蓝洛水深 于 2018-11-26 19:09 编辑

本地电信网络访问
http://www.jd.com
会跳转
https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=495b6b3d607b4a9b8442815106ee14b0

因为自用的是混合网络，电信联通移动共存同一子网，经证实只有在电信网络下会被劫持，联通移动不会。

已联系技术人员多次上门，包括单位、包括住所，包括工作人员所在机房，都被劫持，起初认为是片区区域性的劫持。

通过分析查看网络，发现访问http://www.jd.com，收到的返回内容居然是一段JS代码：

[ol]

[/ol]复制代码

JS跳转推广网址




经过多方投诉，中间电信各种胡扯，暂且不谈，最终告诉我是京东CDN节点IP问题，IP是182.131.4.1。

我起初是不信的！

为了证实是否如此，我临时开通了一台北京IP的服务器，通过hosts指向182.131.4.1，发现也被劫持了！

而这一 IP据观察，覆盖范围为云南、贵州、四川

因为路由节点完全不同，所以已经排除机房所为，排除一级路由二级路由所为，目前等待电信进一步跟进并向京东检举举报此事！

起初认为只是一个辖区劫持，没想到三个省都被劫持，比我预想的要大得多，怪不得本地电信一直处理不了！

欢迎大家hosts到182.131.4.1的京东节点，看看是否被劫持，这一劫持会写cookie等，所以用火狐的隐私浏览能复现，否则只有第一次会出现劫持

附节点IP信息：

"

看到有几位大佬说没有被劫持，我又开了台机子测试，发现可以复现的







2018年11月26日00:41:08
楼下几位大佬重新尝试http://www.jd.com，能复现劫持了，所以这个问题确认存在






随便发了一篇WB，我相信京东是不会理的。
https://weibo.com/1311006524/H4tPSnOzZ

cdseoo

看这个节点在成都，应该是四川电信高层参与了，目前扳不动。

zwstar

在Google Cloud香港复现

shiro

ailaike 发表于 2018-11-26 10:09

太多了很多都是dns直接劫持的
楼主这个就厉害了，直接CDN动手脚，能解析到这个节点的人全都中招（西南几省）

shiro

[ol]

curl http://182.131.4.1 -H "Host: www.jd.com" -A "Mozilla/5.0 (Windows; x86_64) AppleWebKit/537  .36 (KHT ML, like Gecko) Chrome/70.0.3538.80 Safari/537.36"[/ol]复制代码

试了几台机子上都能复现

要用HTTP，UA要Windows，然后貌似只有每个IP第一次访问是稳定出现，然后就大概率返回正常的了

wub_sora

成都电信，第一次打开确实如楼主所说，跳转到https://www.jd.com/?cu=true&utm_source=kong&utm_medium=tuiguang&utm_campaign=t_1000560814_&utm_term=0195854e86db4cccaf64afc4cddd6954
小白顺便问下，这个对我们有什么影响呢？点到的是其他商家加了推广的链接？

loukky

四川电信成功复现

琪露诺

本帖最后由 琪露诺 于 2018-11-26 00:43 编辑

北京微软被劫持。。

gdtv

我这里移动以前也是。
话说在中国违法成本太低了，这种情况被查出的话，最多就革职，但已经赚够了。

hxuf

电信用着企业级设备劫持