用iptables加强VPS防御

VPS – Virtual Private Server,也就是虚拟专用服务器。虽说是虚拟的,但是和普通服务器一样:有内存、有CPU、有HDD当然也直接接入互联网。

实话实说,网络的凶险程度一点也不比人类社会低。接入互联网的设备,无时无刻不承受着来自各方面的攻击:比如最常见的端口扫描。
Continue reading 用iptables加强VPS防御

又抓到个新的一号店 ISP 劫持(更新京东的 ISP 劫持)

前面有抓到个新的一号店 yhd.com 的 ISP 劫持,还是老一套,劫持到 IFRAME + 跳转页面。无聊不无聊,高点技术含量的都玩不来么?

劫持页面是:

    <html>
        <head></head>
        <body style="margin:0px;overflow-x:hidden;overflow-y:hidden;">
            <iframe id="i" width="100%" height="100%" frameborder="no" style="position:fixed;" onload="" scrolling="auto" src="http://stat.51lama.com/stat/2014-11-24/2014-11-24-3.html">
                #document
    (IFRAME 中的内容见下文)
            </iframe>
        </body>
    </html>

嵌套的 IFRAME 里面的内容是: Continue reading 又抓到个新的一号店 ISP 劫持(更新京东的 ISP 劫持)

在路由器里用Lighttpd解决ISP劫持

不知道是不是要搂钱过年的关系,最近电信的 DNS 劫持超猛的,首当其冲是京东,最多一回10分钟里5,6次被劫,然后还有一号店、百度等。就算更换 DNS 服务器也没用,这种劫持技术已经炉火纯青了。貌似唯一有用的是 DNSCrypt Proxy, 不过被干扰的常常超时。

基本就是输入 jd.com 然后回车,会被先劫持到广告联盟的网站,然后跳转到京东,相关人等可以按点击次数收钱。而且,更恶心的是会留下 cookie 哦,有了这块小饼干,你在京东上买东西他们也许可以获得返利。就算钱是小事,万一个人信息泄漏了,那就……

搜集结果:

目前抓到有4种 jd.com 和1种 yhd.com 的劫持方法。也许还有更多,只是暂时没遇到。

  1. 劫持到 linktech,然后跳到 jd.com
    http://click.linktech.cn/?m=360buy&a=A100210094&l=99999&l_cd1=0&l_cd2=1&tu=http%3A%2F%2Fwww.jd.com
  2. 劫持到 chanet 然后跳回 jd.com
    http://count.chanet.com.cn/click.cgi?a=524640&d=22338&u=&e=&url=http%3A%2F%2Fwww.jd.com
  3. Cloaking到 xfect 然后跳转。因为嵌套在IFRAME内,所以地址栏不会变。关于最没品且低技术含量的Cloaking劫持参见 http://en.wikipedia.org/wiki/URL_redirection#Frame_redirects
    http://hao.xfect.cn/js/jd2.html
  4. 5tm 的劫持,包括了京东和一号店的 (这域名还真够贱的,5tm。。。我他X)
    http://5tm.com/joey/jd.html
    http://5tm.com/joey/yhd.html
    

Continue reading 在路由器里用Lighttpd解决ISP劫持