操蛋的DNS劫持,又让我碰到了
本文由 小茗同学 发表于 2016-12-22 浏览(2084)
最后修改 2016-12-22 标签:dns 劫持 cnzz

概述

完全是无意中发现的,因为这个劫持并没有出现广告。

访问 http://demo.liuxianan.com 时,控制台竟然发现一个奇怪的地址:http://gxtj01.statis.wayayaya.com:5001/gxtj01.php

最后发现被劫持的竟然是CNZZ的一个js文件,用电脑访问如下地址:

http://c.cnzz.com/core.php?web_id=1257135263&t=z

返回:

var c=document.createElement('script');c.type='text/javascript';c.src='http://c.cnzz.com/core.php?web_id=1257135263&t=z?c=c';document.getElementsByTagName('head')[0].appendChild(c);var c=document.createElement('iframe');c.setAttribute('style','display:none');c.src='http://gxtj01.statis.wayayaya.com:5001/gxtj01.php';document.getElementsByTagName('head')[0].appendChild(c);var c=document.createElement('iframe');c.setAttribute('style','display:none');c.src='http://wechat.statis.wayayaya.com:5001/wechat.php';document.getElementsByTagName('head')[0].appendChild(c);

但是手机访问时返回正常的js,同样的地址不同设备访问返回的内容不一样,不用说肯定是DNS被劫持了。

继续

看了一下本机的DNS,由于之前经常改域名IP,所以配置了阿里云的公共DNS223.5.5.5

然后修改成谷歌的8.8.8.8之后再刷新上面的地址,好家伙,立马正常了:

最后

该死的运营商可恶至极!差点让我错怪CNZZ了。

补充

发现被劫持的不止是CNZZ,多说评论框也被劫持了:

还是更换为谷歌DNS就没问题了。