域名服务商的假象劫持
下面的内容可能有点罗嗦,不要嫌烦哈,主要想给你们一个排查的思路,以后遇到同样的问题,自己就可以排查解决哈。耐心的看下去!!!今天会员在官方群里面提到关于域名跳转到其它域名网址上了,说到这里兴许很多人都会想:肯定被劫持了,有js跳转。没错,我起初的想法也是,但事实上却不是这样的。他的网址最后跳转到ok365页面上了,对于这个页面大家应该不会陌生吧。一个人劫持他的域名到这个网址上,有啥意思?而且页面上显示"您的域名已经到期,请联系您的服务商续费"。如下图:
到这里纳闷了,之前我的一番检查,我确定是排除了劫持了,具体的我就不说了。然后我到站长工具里面去查这个域名(cdcz.net),显示已经过期,过期了肯定这样提示啊,我反问着。他一口否定他的域名到期还早着呢。之后才知道他的域名是其他域名。什么域名就不发出来了。
查了一下,确实没有到期。于是我让他去查一下dns解析和对应的dns有没有问题,他查过,没有问题。我半信半疑,我让他问服务商在看看,下面是他和服务商的聊天内容,服务商认为可能是他自己的路由被劫持可能。但我这边也访问了网址,也出现了跳转,可以排除路由劫持
我自己ping了下域名,域名都没有解析。如下图:
没有解析,也不是提示这个内容吧。后来他告诉我是CNAME解析。这时我想会不会是解析的这个CNAME域名被劫持了。正想看这个CNAME域名的时候,他告诉我会不会是插件的原因导致的。截图如下:(插件上前台显示了这个网址cdcz.net)
这时候我让他尝试把插件给卸载掉,卸载掉之后,后台缓存更新了一下,这才恢复正常,万恶的插件啊,还是收费的插件呢。哈哈,悲哀啊。
于是我让把对应的插件源码发来给我,我本地研究一下。他重新安装了插件,再把源码发给我之前,在他的网站上发现了端倪,原来是这个原因,我也是醉了。
他这个插件其中一部分功能,即显示天气的功能,是利用第三方网站显示的,这个第三方的网站网址是cdcz.net,而这个网址恰恰17年5月24号到期了,插件里面是通过iframe框架调用的远程地址。
调用的网址是**** Hidden Message *****
框架调用形式:**** Hidden Message *****
总结:因为装了一个插件,这个插件中调用的网址已经过期,导致跳转到那个页面,显示"您的域名已经到期,请联系您的服务商续费"
后面我把这个天气的功能用其他的地址补上,最后源码分享给大家
谢谢楼主的分析与共享 回复学习下 谢谢楼主的分析与共享... 没看到插件呀!在哪在哪
看看社么好的东西 专业研究技术党大神啊 牛牛牛,思路学习了 这种帖子看看很有意思,非常有帮助 感谢分享,学习了
学习 学习域名服务商的假象劫持
本文摘自: 黑帽联盟(https://bbs.cnblackhat.com/) 详细出处请参考:https://bbs.cnblackhat.com/thread-1933-1-1.html 可以看到吗 123倒萨的 谢谢大佬的分享;域名劫持是通过js操作完成? 好东西,谢谢分享 学习学习........ 非常好像分享出来
过来学习参考
页:
[1]