知乎/简书跳转恶意网站的分析及解决方法

知乎/简书跳转恶意网站的分析及解决方法

七月 16, 2020 阅读 1189 字数 1282 喜欢 3

不知道你有没有遇到这么一个情况?打开手机逛知乎或者简书时,有时会在文章加载完后跳转到如下图这样一个界面,手机不断震动,不停的跳出下载文件且无法退出


S00716-10543166.png


巧的是,我也中招了,这个问题困扰了我半个月之久,自诩我的上网习惯还算良好,不怎么使用来路不明的插件且家中网络设备都是自己挑选的,但在这期间无论是调整dns,路由器固件,还是换浏览器等等。这个问题仍无解决,昨晚折腾了下终于查出了问题根源了,来看看是怎么回事吧


首先,这个恶意页面出现在知乎文章完整加载完之后,并且只在手机网页版出现,电脑版和app均正常。看起来不像是dns劫持,那我想是不是知乎的请求中的其他链接被劫持了,但是我用电脑发现浏览器请求的每个资源都加载正常,排查不出来。我试着把chrome的ua标识改为Android Mobile,但始终无法复现如上的情况。


但是使用手机chrome又无法调出控制台查看,不过后来还是找到了调试方法:chrome有个Chrome DevTools工具,当手机与电脑连接且开启usb调试时,DevTools能在Desktop chrome上调试手机的页面,于是打开知乎的链接慢慢查找,发现一条

js.shshuoshu.com



会连续的跳转到那些恶意页面的域名,有很多个,大部分域名绑定的都是江苏无锡的机房。而且这玩意识别十分准确,我用桌面的chrome怎么模拟移动端他都跳“正常”的链接,用真的手机才会跳恶意链接,并且还有cookie时效,每天只跳前两次,后面就不跳了,正所谓闷声发大财啊,估计自己也觉得太嚣张不太好


解决方法:最简单的就是将手机浏览器的ua标识改为苹果,不过主动权仍然在他们手上,万一哪天又换一种方法恶心人呢?真正的解决方法:我在路由器里自定义js.shshuoshu.com解析到正确的127.0.0.1即可,如果没有这样功能的路由器呢?找个屏蔽插件把这个域名屏蔽即可


TIM截图20200717224910.png


题外话:话说简书的劫持大概在一年前我就遇到了,结果现在知乎也恰起来烂钱。跳转的这个恶意网站的域名注册人姓名、邮箱、电话均能查到,虽然很不实际,但希望你能收手。最后这几个域名均未备案却未被阻拦正常访问,也希望管局能加强管理吧

发表评论

电子邮件地址不会被公开。必填项已用 *标注