中国电信个狗日的,既然做出来着这种垃圾无耻下流的东西,他妈的就不要怕人骂你祖宗十八代。

    我们掏钱买的是宽带服务,不是花钱看广告!

网页右下角广告截图

事件起因:

    四天前开始,忽然发现百度首页右下角弹出广告!惊奇中,百度首页居然也有广告?不解,搜索之,未果。一连几天均是如此,怀疑是否中木马,彻底检查,否定。怀疑DNS劫持?检查之,正常,头大之没办法。

    彻底火了,开启全天数据包监控,终于被我逮到了。

电信ISP劫持弹出广告原理:

    1.当用户在访问网站时,电信劫持数据包,非法变更数据包内容

    2.篡改正常的返回数据,修改为他的广告代码。并插入框架调用正常页面,以达到伪装目的:

以百度首页为例:

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"/><title></title><script type="text/javascript">
var ct=0, m_u="http://act.9666.cn/hd/20100723sx_out/index.html", l="", p_w=296, p_h=180, p_l=0, p_t=0, pt=2;
var pd=500,cd=0,h="",mb,mc,ml,mt,mp,my=0,ie=document.all?true:false,op=0;if(ie)var location="";setTimeout("i()",pd); function i(){l="http://"+l;mp=gp();bh();if(pt!=5){document.getElementById("temp_box").innerHTML=h;mb=document.getElementById("box");mb.style.width=p_w+"px";if(ct==0)mc=document.getElementById("ai");else{mc=document.getElementById("is");mc.setAttribute("src",m_u);document.getElementById("il").setAttribute("href",l);mc.onclick="gu('"+l+"');"}mc.style.width=p_w+"px";mc.style.height=p_h+"px";ml=p_l!=0?p_l:(mp[0]-p_w)/2;mt=p_t!=0?p_t:(mp[1]-p_h)/2;mb.style.left=ml+"px";mb.style.top=mt+"px";ct==2&&pp()}} function pp(){if(pt==1)mb.style.display="block";else if(pt==2){mb.style.left=mp[0]-p_w-2+"px";mb.style.top=mp[1]+"px";mb.style.display="block";bub()}else if(pt==3){mb.style.left=mp[0]-p_w-2+"px";mb.style.top=mp[1]+"px";mb.style.display="block";tdb()}else if(pt==4){mb.style.left=mp[0]-p_w-2+"px";mb.style.top=mp[1]-p_h-22+"px";mb.style.display="";mc.onload=co}else mb.style.display="block";cd!=0&&setTimeout("cpp()",cd)} function tit(){try{document.title=window.frames.frm.document.title}catch(a){}}function bub(){if(my>=p_h){mc.style.height=p_h;clearTimeout(mm);return false}my+=7;mb.style.top=mp[1]-my-20+"px";if(ct==0)mc.style.height=my+"px";mm=setTimeout("bub()",50)}function tdb(){if(my>=p_h){clearTimeout(mm);return false}my+=7;mb.style.top=my-p_h+"px";mm=setTimeout("tdb()",50)} function co(){if(op<100)op+=4;else{clearTimeout(mm);return false}if(ie)mb.style.filter="alpha(opacity:"+op+")";else mb.style.opacity=op/100;mm=setTimeout("co()",100)} function bh(){if(pt==5){if(ct==0)document.getElementById("top_box").innerHTML='<div id="box" style="width:100%;text-align:center;"><iframe id="ai" name="ai" src="'+m_u+'" scrolling="no" frameborder="no" width="100%" height="'+p_h+'" style="overflow-x:hidden;" ></iframe>';else{document.getElementById("top_box").innerHTML='<div id="box" style="width:100%;text-align:center;"><a id="il" href="#" target="_blank"><img src="'+m_u+'" style="border:none;" /></a><div>';document.getElementById("il").setAttribute("href", l)}setTimeout("cpp()",5E3)}else{h+='<div id="box" style="display:none;background:#adcff2;border:1px solid #619dd1;position:absolute;z-index:10001;font-size:12px;"><style>* html #menu {position:absolute;}</style>';h+='<span style="width:100%;float:left;height:20px;text-align:right;"><a id="close_bnt" href="#" onClick="cpp();return false;" style="line-height:20px;color:#fff;text-decoration:none;">&nbsp;\u5173\u95ed&nbsp;</a></span>';if(ct==0)h+='<iframe id="ai" name="ai" src="'+m_u+'" onload="pp()" scrolling="auto" frameborder="no" width="100%" height="0" style="overflow-x:hidden;"></iframe></div>'; else{h+='<a id="il" href="#" target="_blank" style="float:left;display:block;">';h+='<img id="is" src="#" style="border:none;background:#eaf3fc;vertical-align:bottom;"></a></div>'}}}function gu(a){window.open("http://"+a)}function cpp(){document.getElementById("top_box").style.display="none";document.getElementById("box").style.display="none"} function gp(){var a=document.documentElement;return s=[window.innerWidth||self.innerWidth||a&&a.clientWidth||document.body.clientWidth,window.innerHeight||self.innerHeight||a&&a.clientHeight||document.body.clientHeight]};</script></head><body style="margin:0px;overflow-x:hidden;overflow-y:hidden;"><div id="top_box"></div><iframe id="frm" src="http://www.baidu.com/?" scrolling=auto width="100%" height="100%" frameborder="no" onload="tit();" style="position:fixed;z-index:-1;"></iframe><div id="temp_box"></div></body></html>

注:红色的为广告页面地址,蓝色的为框架调用正常页面代码。

    3.弹出按广告后,调用其正常返回的页面,伪装正常页面。

解决方案:

    使用“host”表,屏蔽弹窗广告网站域名!

    在“C:\WINDOWS\system32\drivers\etc\hosts”文件中,最后一行加入“127.0.0.1       act.9666.cn”即可。

广告页面:

    http://act.9666.cn/hd/20100723sx_out/index.html

统计地址:

    http://new.cnzz.com/v1/login.php?siteid=2252239

    在其统计地址里不难看出,此弹窗项目名称为:“电信主动弹出”。

前科事件:

    https://lcx.cc/post/49/