V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
KexyBiscuit
V2EX  ›  问与答

有没有人被自动跳转到 wpkg.org

  •  1
     
  •   KexyBiscuit · 2015-04-26 17:24:26 +08:00 · 11084 次点击
    这是一个创建于 3498 天前的主题,其中的信息可能已经有所发展或是发生改变。

    某页游代理出现此情况,我自己的代理也有这个情况。
    据说和 facebook.net 有关系,但是我也没有搞明白哪里出的问题。
    出现问题的几个网站(中国大陆以外访问):
    https://microsoftstore.com/
    http://dmm.com/

    附上某页游代理提供的解决方案:hosts
    127.0.0.1 facebook.net
    127.0.0.1 wpkg.org

    第 1 条附言  ·  2015-04-26 19:43:53 +08:00
    看来是这样了,中国大陆某些 DNS 又开始排污,岛风 Go 和我的 SS 都没有转发 DNS,于是就脏了。
    72 条回复    2015-04-30 12:11:35 +08:00
    zhaohaozeng
        1
    zhaohaozeng  
       2015-04-26 18:12:45 +08:00
    应该是防火墙的锅
    cmxz
        2
    cmxz  
       2015-04-26 19:16:56 +08:00   ❤️ 1
    同样遇到了
    请求http://connect.facebook.net/en_US/fbds.js 时会301跳到http://wpkg.org/my.js
    KexyBiscuit
        3
    KexyBiscuit  
    OP
       2015-04-26 19:28:53 +08:00 via Android
    @zhaohaozeng 不是,SS 出去也一样。
    Laforet
        4
    Laforet  
       2015-04-26 19:30:02 +08:00
    DNS的问题吧,这个域名正常情况下应该解析到Akamai的CDN上,部分省市解析到wpkg的这两个德国IP上

    46.4.130.2
    144.76.67.84

    某软件因为各种js出问题不是一次了,让你们家背锅的那位不要那么懒,开个远端DNS或者默认屏蔽那些跨站脚本就行了,不影响使用的。
    laiyingdong
        5
    laiyingdong  
       2015-04-26 19:30:28 +08:00
    我用香港ss访问appledaily时也跳转了这个网站,不过服务器不是自己的。没办法了
    kiritoalex
        6
    kiritoalex  
       2015-04-26 19:33:24 +08:00
    @Laforet 岛风go吗?
    KexyBiscuit
        7
    KexyBiscuit  
    OP
       2015-04-26 19:34:44 +08:00 via Android
    @kiritoalex 嗯是的
    kiritoalex
        8
    kiritoalex  
       2015-04-26 19:36:46 +08:00
    Laforet
        9
    Laforet  
       2015-04-26 19:37:11 +08:00
    @kiritoalex 然也。这软件之前就有过因为跨站脚本载入失常导致部分本站网页元素失效的问题。经我验证屏蔽dmm域名和游戏前端之外的所有脚本不影响登陆和游戏,不知道为什么某专业背锅不能这样做。
    KexyBiscuit
        10
    KexyBiscuit  
    OP
       2015-04-26 19:42:45 +08:00 via Android
    @Laforet 他们还开放了一些“正经又重要”的网站的访问,可能原因在此。
    kiritoalex
        11
    kiritoalex  
       2015-04-26 19:45:55 +08:00
    @Laforet 你们认识真神吗?给他发一个邮件吧。。。。。。。。
    kiritoalex
        12
    kiritoalex  
       2015-04-26 19:47:41 +08:00
    @Laforet 跨站脚本那个太烦人了,现在都还有这个问题。简直是烦死。要不是防猫我不会用的。。
    dofine
        13
    dofine  
       2015-04-26 19:56:32 +08:00
    原来如此。。我说怎么这会翻出不出去了。。提示证书错误
    Laforet
        14
    Laforet  
       2015-04-26 20:07:19 +08:00   ❤️ 1
    @kiritoalex 这个靠自己吧,noscript和ghostery都是很好的东西。之前我也不怎么注意这方面的问题,上次大规模脚本劫持之后现在非常小心。
    kiritoalex
        15
    kiritoalex  
       2015-04-26 20:09:15 +08:00
    @Laforet 是这样的
    yingluck
        16
    yingluck  
       2015-04-26 21:19:12 +08:00
    遇到了 还没搞清楚是怎么回事 原来以为时运营商打广告
    Shennong
        17
    Shennong  
       2015-04-26 21:49:01 +08:00 via iPhone
    我说呢,我还以为DNS 被劫持了呢
    Xuanwo
        19
    Xuanwo  
       2015-04-26 23:30:50 +08:00   ❤️ 2
    我在uBlock里面添加了facebook.net,就搞定了= =。
    顺便问下,这次是谁的锅?
    jb
        20
    jb  
       2015-04-26 23:45:51 +08:00
    @Laforet 表示墙内直接连,返回的是ERR_NAME_NOT_RESOLVED
    DNS根本就被污染了嘛!不过换google的DNS却是可以正常撸出来的。
    [环境:天津,教育网,今天校园网DNS被放倒除了内网外全部无法解析,chrome浏览器,用DNS114被污染无法解析,8.8.8.8正常]
    0x17e
        21
    0x17e  
       2015-04-26 23:53:20 +08:00
    这个问题也遇到了
    jacob
        22
    jacob  
       2015-04-27 01:33:27 +08:00
    怎么解决啊
    Oi0Ydz26h9NkGCIz
        23
    Oi0Ydz26h9NkGCIz  
       2015-04-27 01:43:02 +08:00
    @jb
    @Xuanwo
    @Laforet
    @Laforet
    @cmxz 我怎么打开wpkg.org是“Google Chrome”到 wpkg.org 的连接尝试遭到拒绝。原因可能是该网站已崩溃,也可能是您的网络配置不正确“
    ping wpkg.org返回的是127.0.0.1
    zxteloiv
        24
    zxteloiv  
       2015-04-27 02:02:34 +08:00
    装 NoScript 扩展后已经能正常访问不会被重定向了
    tinkerer
        25
    tinkerer  
       2015-04-27 02:22:15 +08:00
    我今天访问 .pk 域名也出这情况了, 目前暂时 dns 查询添加 anyconnect 路由 + bind 缓存正常用。
    adamwang
        26
    adamwang  
       2015-04-27 10:32:00 +08:00
    在求解决方案 = =#
    KexyBiscuit
        27
    KexyBiscuit  
    OP
       2015-04-27 10:45:52 +08:00 via Android   ❤️ 1
    @adamwang
    @jacob
    主题帖就给出 hosts 了 - -+再发一次更新版

    127.0.0.1 facebook.net
    127.0.0.1 connect.facebook.net
    127.0.0.1 wpkg.org
    adamwang
        28
    adamwang  
       2015-04-27 10:49:18 +08:00
    之前试了一下没好使= = #,现在可以了。Thx~
    jianghu52
        29
    jianghu52  
       2015-04-27 11:19:47 +08:00
    大连 网通 直连 wpkg.org 正常。
    Oi0Ydz26h9NkGCIz
        30
    Oi0Ydz26h9NkGCIz  
       2015-04-27 11:31:53 +08:00
    微博上炸开锅了。
    mingyuan2011
        31
    mingyuan2011  
       2015-04-27 12:08:13 +08:00
    今天去下载 xmind客户端,也被redirect到了 wpkg.org
    Laforet
        32
    Laforet  
       2015-04-27 12:37:59 +08:00
    大概明白是怎么回事了。wpkg的两个IP上的Nginx配置有点问题,如果用IP访问并请求任何.js的话会自动返回HTTP 301并跳转到http://wpkg.org/my.js,然后这个脚本会导致跳转。我已经发邮件给wpkg的两位管理员,希望可以尽快得到解决。
    bobopu
        33
    bobopu  
       2015-04-27 13:25:00 +08:00 via iPhone
    @Laforet 这么大的流量冲击他们能不知道么。需要知道这个wpkg到底是什么背景。
    shangyingao
        34
    shangyingao  
       2015-04-27 14:07:13 +08:00
    今天我打开自己的博客(iyin.me)也跳转到 wpkg.org
    这是WordPress的问题还是域名的问题呢?
    laoyuan
        35
    laoyuan  
       2015-04-27 14:07:21 +08:00
    我刚刚也碰到了,IMDB的首页
    laoyuan
        36
    laoyuan  
       2015-04-27 14:07:29 +08:00
    microka
        37
    microka  
       2015-04-27 14:09:54 +08:00
    @laiyingdong 我也是ss访问appledaily出现这个情况,昨晚和今早都用得好好的。
    Laforet
        38
    Laforet  
       2015-04-27 14:27:32 +08:00
    @bobopu 这是个软件分发的开源项目,我觉得是他们服务器配置有漏洞,被人利用了。欧洲现在是半夜,过几个小时应该就会有答复。
    zyc92118
        39
    zyc92118  
       2015-04-27 14:29:07 +08:00
    刚刚遇到,开了一下VPN,然后几乎所有的日文攻略WIKI站都自动跳转wpkg.org............
    bobopu
        41
    bobopu  
       2015-04-27 14:42:07 +08:00
    @Laforet 已用OneDNS解决。另,这个问题似乎是从昨天中午就开始出现了,这都过去十几个小时了,他们应该知道了吧。我也是佩服这家的服务器,这么大流量居然没倒,看起来又不想是cloudflare的用户,竟自己能独抗如此巨量大炮不倒,神奇。
    nlzy
        42
    nlzy  
       2015-04-27 15:35:45 +08:00
    我用墙外的2台VPS wget http://connect.facebook.net/ja_JP/sdk.js ,均返回正常
    直连http://connect.facebook.net/ja_JP/sdk.js返回301,跳转至wpkg.org/my.js
    挂ss返回正常
    host修改为23.207.52.153 connect.facebook.net,返回正常
    PS:23.207.52.153这个IP是墙外VPS ping返回的
    bobopu
        43
    bobopu  
       2015-04-27 16:18:41 +08:00
    @Laforet
    @nlzy 看solidot上的消息,大炮又修改了规则,打到另一个网站了,具体是哪个知道吗?http://www.solidot.org/story?sid=43854
    hezhile
        44
    hezhile  
       2015-04-27 16:41:07 +08:00
    很多海淘相关的网站,也被劫持到这个wpkg.org的域名。
    http://www.newsmth.net/nForum/article/HaiTao/141942?s=141942
    infinte
        45
    infinte  
       2015-04-27 17:07:44 +08:00
    我从国内和国外测试

    curl http://connect.facebook.net/en-US/sdk.js -v --resolve 'connect.facebook.net:80:148.251.0.55'

    使用 resolve 参数强制访问国内解析出的地址结果也是跳转,而测试

    curl http://connect.facebook.net/en-US/sdk.js/www.v2ex.com -v --resolve 'connect.facebook.net:80:148.251.0.55'

    在国内有遇到 RST,国外没,说明此服务器在国外。两条测试可以断定这不是会话劫持,solidot 的描述是错的。

    我怀疑最大的可能性是对 connect.facebook.net 的 dns 污染刚巧碰到了这几个 ip……
    Laforet
        46
    Laforet  
       2015-04-27 17:20:24 +08:00
    @bobopu 可能是挂在同一个IP上的http://www.ptraveler.com/,同一台服务器,自然症状是一样的。

    solidot这里的说法也有问题,用DNS劫持XSS,只能靠远端DNS防污染,加密没什么意义。
    bobopu
        47
    bobopu  
       2015-04-27 17:39:57 +08:00
    @Laforet 试了一下,的确现在又转到了http://www.ptraveler.com/pt.js
    @infinte
    ScotGu
        48
    ScotGu  
       2015-04-27 17:45:18 +08:00
    who.is 就跳转到这货上。
    我还纳闷是WPKG 收购了呢。
    infinte
        49
    infinte  
       2015-04-27 17:53:18 +08:00
    @bobopu 我怀疑不是有人故意劫持,只是 dns 污染的 ip 池刚好圈住了那几个 ip 罢了
    bobopu
        50
    bobopu  
       2015-04-27 17:57:01 +08:00
    @infinte 发现有几个介绍如何用hosts绕过跳转的帖子都主动删帖了,这也太。。
    infinte
        51
    infinte  
       2015-04-27 17:57:58 +08:00
    @bobopu dig 出来的结果 ttl 都几十万……
    xiaopenyou
        52
    xiaopenyou  
       2015-04-27 18:07:33 +08:00
    同遇到,换成阿里dns就恢复了
    lugeek
        53
    lugeek  
       2015-04-27 18:32:23 +08:00
    好神奇…
    armysheng
        54
    armysheng  
       2015-04-27 19:50:54 +08:00
    改了hosts,清了cookie ,chrome也重启了怎么还是有问题
    armysheng
        55
    armysheng  
       2015-04-27 20:00:02 +08:00
    已解决
    KexyBiscuit
        56
    KexyBiscuit  
    OP
       2015-04-27 22:33:34 +08:00
    @bobopu 求具体
    ryd994
        57
    ryd994  
       2015-04-28 02:03:53 +08:00 via Android
    加hsts也很好用
    miao
        58
    miao  
       2015-04-28 09:07:43 +08:00
    到现在好像还在跳转
    www.houzz.com
    orangemay
        59
    orangemay  
       2015-04-28 12:11:55 +08:00
    昨天改了 hosts 清除缓存后成功解决.
    然后现在还是会跳转了..
    vonnyfly
        60
    vonnyfly  
       2015-04-28 13:14:19 +08:00
    遇到好些天了,clean dns无效,公司内网走日本也无效。
    http://connect.facebook.net/en_US/all.js 301跳转。
    vonnyfly
        61
    vonnyfly  
       2015-04-28 13:15:35 +08:00
    看这个直播chrome最近一直跳转: http://www.twitch.tv/jennythesquirrel fuck
    totmann
        62
    totmann  
       2015-04-28 14:29:37 +08:00
    Use an Adblocker extension in your web browser and block the following urls:
    http://wpkg.org/my.js
    http://www.ptraveler.com/pt.js
    pbdm
        63
    pbdm  
       2015-04-28 14:39:12 +08:00
    ......react 官网也被跳转了
    http://facebook.github.io/react
    suifengtec
        64
    suifengtec  
       2015-04-28 14:52:53 +08:00
    我真是日了狗了,我是在某SDK中发现跳转,谷歌到这里的
    infinte
        65
    infinte  
       2015-04-28 16:40:58 +08:00
    事实上 connect.facebook.net 本身没有被污染,但是很奇怪的 a.ns.facebook.comb.ns.facebook.com 被污染了,这两个域名的正常地址国内也 ping 不通,所以对于正常的国内 DNS 服务器,解析 connect.facebook.net 是不会解析出结果的……
    infinte
        66
    infinte  
       2015-04-28 16:59:13 +08:00
    另外 connect.facebook.net 正常状态下会 CNAME 到 connect.facebook.net.edgekey.net,这个域名全国解析都没问题,说明问题应该出在国内服务器访问 a.ns.facebook.com / b.ns.facebook.com 这一步上。
    arbipher
        67
    arbipher  
       2015-04-28 17:15:30 +08:00
    @Xuanwo 可用
    acess
        68
    acess  
       2015-04-28 23:59:16 +08:00
    我也碰到了
    chrome还把这个js缓存了,搞得设置了代理也会被跳转,清除浏览器缓存就好了
    infinte
        69
    infinte  
       2015-04-29 01:42:48 +08:00   ❤️ 1
    大体知道是怎么回事了:劫持者把 a.ns.facebook.com / b.bs.facebook.com 劫持到的一批 IP 中有这样一个奇葩:178.208.90.143,这个 IP 开放了 DNS 服务,但是朝他无论解析哪个域名都会返回 604800 IN A 148.251.0.55。
    spyke44
        70
    spyke44  
       2015-04-29 09:09:27 +08:00
    @infinte 根到底在墙内还是墙外?
    Laforet
        71
    Laforet  
       2015-04-29 20:40:47 +08:00
    @infinte 本来以为是有意的导向,现在越来越看不懂了

    https://www.shodan.io/host/178.208.90.143
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1187 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 23:53 · PVG 07:53 · LAX 15:53 · JFK 18:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.