域名服务商的假象劫持

定位

下面的内容可能有点罗嗦，不要嫌烦哈，主要想给你们一个排查的思路，以后遇到同样的问题，自己就可以排查解决哈。耐心的看下去！！！

今天会员在官方群里面提到关于域名跳转到其它域名网址上了，说到这里兴许很多人都会想：肯定被劫持了，有js跳转。没错，我起初的想法也是，但事实上却不是这样的。他的网址最后跳转到ok365页面上了，对于这个页面大家应该不会陌生吧。一个人劫持他的域名到这个网址上，有啥意思？而且页面上显示"您的域名已经到期，请联系您的服务商续费"。如下图：



到这里纳闷了，之前我的一番检查，我确定是排除了劫持了，具体的我就不说了。然后我到站长工具里面去查这个域名（cdcz.net），显示已经过期，过期了肯定这样提示啊，我反问着。他一口否定他的域名到期还早着呢。之后才知道他的域名是其他域名。什么域名就不发出来了。



查了一下，确实没有到期。于是我让他去查一下dns解析和对应的dns有没有问题，他查过，没有问题。我半信半疑，我让他问服务商在看看，下面是他和服务商的聊天内容，服务商认为可能是他自己的路由被劫持可能。但我这边也访问了网址，也出现了跳转，可以排除路由劫持



我自己ping了下域名，域名都没有解析。如下图：



没有解析，也不是提示这个内容吧。后来他告诉我是CNAME解析。这时我想会不会是解析的这个CNAME域名被劫持了。正想看这个CNAME域名的时候，他告诉我会不会是插件的原因导致的。截图如下：（插件上前台显示了这个网址cdcz.net）





这时候我让他尝试把插件给卸载掉，卸载掉之后，后台缓存更新了一下，这才恢复正常，万恶的插件啊，还是收费的插件呢。哈哈，悲哀啊。


于是我让把对应的插件源码发来给我，我本地研究一下。他重新安装了插件，再把源码发给我之前，在他的网站上发现了端倪，原来是这个原因，我也是醉了。


他这个插件其中一部分功能，即显示天气的功能，是利用第三方网站显示的，这个第三方的网站网址是cdcz.net，而这个网址恰恰17年5月24号到期了，插件里面是通过iframe框架调用的远程地址。

调用的网址是

游客，如果您要查看本帖隐藏内容请回复

框架调用形式：

游客，如果您要查看本帖隐藏内容请回复

总结：因为装了一个插件，这个插件中调用的网址已经过期，导致跳转到那个页面，显示"您的域名已经到期，请联系您的服务商续费"


后面我把这个天气的功能用其他的地址补上，最后源码分享给大家