青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 闲聊名人博客和锵锵三人行htaccess文件使用大全 »

谁控制了我们的浏览器?

  本文遵从GPL协议,欢迎转载。

  1、现象是什么?

  大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口。很多人以为这是网站自己弹出的广告,也就没有在意。

  我是属于很在意的那些人之一。

  2、这是怎么回事?

  经过测试和分析,我们发现,上述现象与使用何种浏览器无关(我们测试了各种流行的http客户端),与使用何种操作系统也无关(linux用户也有相关报告)。我对出现该现象的IE浏览器进程进行了跟踪调试,没有发现任何异常。可以断定,并不是系统被安装了adware或者spyware。

  那么是不是那些网站自己做的呢?后来发现,访问我们自己管理的网站时也出现了这种情况,排除了这个可能。

  那么剩下唯一的可能就是:有人在某个或某几个关键网络节点上安装了inject设备,劫持了我们的HTTP会话——我实在是不愿相信这个答案,这个无耻、龌龊的答案。

  伟大的谢洛克·福尔摩斯说过:当其他可能都被排除之后,剩下的,即使再怎么不可思议,也一定是答案。

  为了验证这个想法,我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直接访问这个IP的HTTP服务,正常情况下是没有页面的,应该返回404错误。我写了一个脚本,不断访问这个IP,同时记录进出的数据包。在访问进行了120次的时候,结束请求,查看数据。120次请求中,118次返回的都是正常的404错误:

HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111

〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉

  但是有两次,返回了这个:

HTTP/1.1 200 OK
Content-type: text/html

〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
〈/body〉
〈/html〉

  更进一步分析数据包,可知劫持流程如下:

  A、在某个骨干路由器的边上,躺着一台旁路的设备,监听所有流过的HTTP会话。这个设备按照某种规律,对于某些HTTP请求进行特殊处理。

  B、当一个不幸的HTTP请求流过,这个设备根据该请求的seq和ack,把早已准备好的数据作为回应包,发送给客户端。这个过程是非常快的,我们的HTTP请求发出之后,仅过了0.008秒,就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

  C、因为seq和ack已经被伪造的回应用掉了,所以,真正的服务器端数据过来的时候,会被当作错误的报文而不被接受。

  D、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行,重新对你要访问的URL进行请求,这一次,得到了请求的真正页面,并且调用window.open函数打开广告窗口。

  在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索,出现的基本上是国内网站,这表明,问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。

  真相大白。我们被愚弄了,全中国的网民都成了某些人的赚钱工具。

  3、现在怎么办?

  在坏家伙被捉出来之前,我们要想不受这个玩意的骚扰,可以考虑下面的方法:

  A、请各单位的网络管理员,在网络的边界设备上,完全封锁211.147.5.121。
  B、在你自己的个人防火墙上,完全封锁211.147.5.121。
  C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE,可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。

  绝不只是广告那么简单,这涉及到我们的选择,我们的自由,这比垃圾邮件更加肮脏和无耻。今天是广告,明天就可能在你下载软件的时候给你加个adware或者加个病毒进去,谁知道呢?我们的HTTP通信完全控制在别人手里。

  4、如何把坏家伙揪出来?

  如果你是一个有权力调查和处理这件事的人,从技术上,可以考虑下面的手段:

  方法1、

  伪造的回应数据中并没有处理TTL,也就是说,我们得到的回应数据中TTL是和inject设备位置相关的。以我收到的数据包为例,真实的服务器端回应TTL是107,伪造的回应TTL是53。那么,从我们这里到被请求的服务器之间经过了21(128-107)个节点,从我们这里到inject设备经过了11(64-53)个节点。只需要traceroute一下请求的服务器,得到路由回溯,往外数第11个节点就是安插inject设备的地方!

  方法2:

  假如坏家伙也看到了这篇文章,修改了TTL,我们仍然有办法。在google上以下面这些关键字搜索:php?curtime,htm?curtime,asp?curtime,可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址,验证从你的ip访问过去是否会被inject。将确实会被inject的结果搜集起来,在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。

  上面我们已经说明了,坏家伙是在某个或者某些重要节点上安插了inject设备,那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、D四个被inject到的网站,从四个地方进行路由回溯的结果如下:

MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D

  显然,inject设备极大可能就在“89”所在的机房。

  方法3:

  另一方面,可以从存放广告业面的211.147.5.121这个IP入手,whois查询结果如下:

inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: hui_zh@sina.com 20011112
status: ALLOCATED PORTABLE
source: APNIC

person: Pang Patrick
nic-hdl: PP40-AP
e-mail: bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: ipas@cnnic.net.cn 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: dsl327@btamail.net.cn 20020403
source: APNIC

  5、我为什么要写这篇文章?

  新浪为我提供桃色新闻,我顺便看看新浪的广告,这是天经地义的;或者我安装某某网站的广告条,某某网站付给我钱,这也是天经地义的。可是这个211.147.5.121既不给我提供桃色新闻,又不给钱,却强迫我看广告,这就严重伤害了我脆弱而幼小的心灵。事实上,你可以敲诈克林斯·潘,强奸克里奥·佩德拉,咬死王阳明,挖成吉思汗墓,我都不会计较,但是现在你既然打搅了我的生活,我就不得不说几句了。

  6、我是谁?

  如果你知道MyName,又知道MyCount的话,那么,用下面这段perl可以得到:2f4f587a80c2dbbd870a46481b2b1882。

#!/usr/bin/perl -w

use Digest::MD5 qw(md5 md5_hex md5_base64);

$name = 'MyName';
$count = MyCount;

for ($i=0; $i〈$count; $i++)
{
$name = md5_hex($name);
}

print $name;

以下签名,用于以后可能出现的关于此文的交流:
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66

  注:本文为转载,作者tombkeeper,发布日期为:2004.7.20。
 



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址
  • 1.eva
  • 用什么浏览器都出现这种情况.我现在是无语了.唉~~~
  • 2007/10/14 22:46:23   支持(26)反对(15) 回复
  • 2.nikkei
  • 我刚看到您的这篇文章,我这里有个与此文章无关的问题,这几天弄得我很恼火,所以虽然与主题无关,但还是想请您看一下能否帮我解决,将不胜感激。我现在在外租房,和另外几个房客共用一个路由器,前一段时间我们这里网速不畅,另外一个房客就认为是我私自加入交换器导致的(因为我的房间里有我和女朋友的两台电脑),我们就被怀疑是用路由器的一根分线接了两个电脑,但事实上我们只是一根网线在两个电脑上换着用,那个房客就要求每家人“锁定”一台电脑上网,每家人只能固定有一台可以上网,我们因为那样会不方便,又觉得不愿背这个黑锅,所以没有同意,我们不太懂电脑上的一些专业知识,不知道“锁定”有没有可能实现,但后来我们这里其中一台电脑确实就莫名其妙的不能上网了,网线换到另一台上就能正常上网,我们很奇怪,也怀疑是不是那个房客做了手脚,后来我在网上查了相关的问题,说是如果更改一下路由器允许的网络IP地址范围也许就能实现所谓的“锁定”,我也查了我和女朋友两台电脑的IP地址,是不一样的。我不知道是不是被做了手脚,另外一个房客实在是很让人恼火,如果是他私自修改了路由器的一些设置让我们其中一台不能上网的那实在是太过分了,我想请问一下我的推测是不是有可能成立的?会不会是被修改了路由器的设置而不能上网?如果是的话,那有没有修改的历史记录可以调看?我只想把这件事彻底搞清楚,不愿意被人莫名其妙的这么折腾,您能帮忙的话将不胜感激,谢谢!
  • 2007/12/25 14:42:51   支持(21)反对(10) 回复
  • 3.Hawk
  • 我是上海电信ADSL的,正想着怎么会所有网站都弹出一样的广告呢,还禁不掉,原来这么回事!回头查了这些广告的 ip,都是 61.153.48.121,查询了一下,是 浙江省 嘉兴市 电信。现在把 ip 封掉了,应该可以清静一下了吧。
  • 2006/7/30 8:41:12   支持(14)反对(5) 回复
  • 4.郁闷
  • 我是四川攀枝花电信ADSL,,最近我只要访问网页时,就会随机弹出来自220.167.29.103:9123的不显示窗口,用IP138查其地点为: 四川省成都市 电信 或 四川师范大学 10幢。从地址来看,其与以前弹出的互联星空、114查询同出一策。这种卑劣作为是四川电信干的!鄙视四川电信!

    生在如此一个社会环境之下,生为中国人也是种耻辱了!
  • 2007/1/1 22:43:52   支持(17)反对(8) 回复
  • 5.tolig
  • 广州电信对企业的ADSL线路也做了手脚
    我在办公室打开google.cn的时候会弹出类似“http://220.167.29.103:9123/ndatin.aspx?param=ABdXNlcm5hbWU9d2o4NjQxNTImcG9saWN5aWQ9Mw==&ref=1”的窗口,在家里则不会
  • 2006/8/15 16:49:01   支持(17)反对(9) 回复
  • 6.紫雨0浩南
  • 惠州电信 一样遇到了`
  • 2007/2/27 19:53:51   支持(16)反对(8) 回复
  • 7.GGG
  • 深圳电信的219.133.33.37 现在升级了,现在搞的是直接的数据包替换,
    我访问一个网站的时候,竟然返回一些无关的数据,比如.我访问www.baidu.com
    竟然发现返回的包里面主要是如下内容:
    <iframe src="about:blank" width="0" height=0" frameborder=0" stype="display:none"></iframe>
    <script language="javascript">
    window.frames[0].location = "http://219.133.33.37/update/step1.aspx?p=" +
    "xxxxxx@163.gd|" +
    Math.floor((new Date()).getTime()/1000) + "|" +
    navigator.appMinorVersion + "|" +
    screen.availHeight + "|" +
    screen.availWidth + "|" +
    screen.colorDepth + "|" +
    screen.height + "|" +
    screen.width;
    }
    </script>

    草,测试了一下 他的step1.aspx是记录你的用户名和访问地址,然后跳到step2.aspx.
    step2.aspx,就一个javascript函数,每2200毫秒后返回返回到你要访问的网站,
    真××的欠cao

    这里有一个发泄的方法,他不是要记录吗?大家以后没事情的时候就访问:
    http://219.133.33.37/update/step1.aspx?p=××××@163.gd|125365236|;SP2;|732|1024|32|768|1024
    其中"××××"大家可以随便换取想发泄的词语,你想操她家什么人就写什么
  • 2007/10/15 19:16:18   支持(17)反对(10) 回复
  • 8.gggccc44
  • ×××,四川也有,绝对是电信干的,广告内容一般是互联星空,日
  • 2006/3/25 16:10:05   支持(12)反对(6) 回复
  • 9.toobad
  • t2ns.com 很可疑。不知道是否是操纵者还是他们的客户。。。
  • 2006/9/4 9:23:23   支持(13)反对(7) 回复
  • 10.kill
  • 楼主高手

    我是四川电信ADSL,,最近我只要使用BT之类有大量上传软件时,就会弹出来自220.167.29.103:9123的不显示窗口,用IP138查其地点为: 四川省成都市 电信 或 四川师范大学 10幢。从地址来看,其与以前弹出的互联星空、114查询同出一策。这种卑劣作为是四川电信干的!鄙视四川电信!

    生在如此一个社会环境之下,生为中国人也是种耻辱了!
  • 2006/9/5 1:12:05   支持(16)反对(10) 回复
  • 11.doutao
  • 为什么不让“锵锵三人行”讨论讨论
  • 2007/1/8 22:24:13   支持(17)反对(11) 回复
  • 12.ca191
  • 云南电信有强行广告,今年开始的
  • 2006/10/15 11:34:43   支持(15)反对(10) 回复
  • 13.老张
  • 我的电信宽带最近几个月频繁出现被强行插入广告的情况,觉得很是恶心。俺又不是免费上网,一个服务被他们赚了两次钱,真...
  • 2008/5/6 18:27:59   支持(12)反对(7) 回复
  • 14.没办法2010
  • 更正:正则特征还有,ABioyaj
    open\w*.js等等
    这网站自动粘起来了
  • 2010/10/10 12:43:00   支持(13)反对(8) 回复
  • 15.蜀狂
  • 真TM的无耻啊,我说是怎么回事,原来这样
  • 2006/3/13 12:23:18   支持(12)反对(8) 回复
  • 16.拷贝猫
  • 把事情想复杂点吧。
    首先一聪明的hacker会入侵211.147.5.121,然后在上面放虫子,然后虫子下木马,多好的温床啊~~

    那鸽子来无影,去无踪~~ ^^
  • 2006/3/13 17:25:29   支持(11)反对(7) 回复
  • 17.上海电信已经被人法律起诉啦
  • 由于上海电信被起诉,我从一个在上海电信工作的朋友那里知道了,上海那边已经停止绿色上网的业务啦。但是其他地方就还是更加糟糕!我晕!有无办法一起去用法律起诉中国电信啊?胜率100%,因为它们的行为的确存在着侵犯隐私的侵权行为,带齐网络上的证据去起诉中国电信××的混蛋。侵犯我们的隐私还有令大家以后上网都存在着安全隐患!谁有组织的“能力”?我大力支持你带领群众一起去起诉中国××的电信。我是广州的用户。
  • 2007/4/24 18:13:23   支持(14)反对(10) 回复
  • 18.123fgh
  • 北京联通ADSL进行HTTP劫持
    2010年6月至7月期间,北京联通ADSL进行了HTTP报头劫持
    修改了用户到网站的HTTP请求
    修改了HTTP_COOKIE内容,导致大量网站论坛登录错误
    把HTTP_USER_AGENT里面的MSIE改成了6.0, WindowsNT改成了5.1
    还增加了HTTP_10位随机大写字母的加密字段
  • 2010/7/21 16:29:28   支持(15)反对(11) 回复
  • 19.高高在上
  • 也可能是域名服务器的问题,域名服务器故意把域名解析到错误的地址上
  • 2006/3/15 2:07:07   支持(14)反对(11) 回复
  • 21.发射点法
  • 强烈谴责中国电信,狗~娘~娘~的,我~~~日~~~哦
  • 2007/11/25 20:57:05   支持(11)反对(8) 回复
  • 24.xiongxt
  • 被强奸了,电信的导航来了,怎么删掉啊,你妈的被共匪想要收集信息,直接说啊,从此杀电信技术人员杀电信管理人员不需要有愧疚,gcd万岁。
  • 2015/3/18 10:45:08   支持(6)反对(3) 回复
  • 25.踩着棉花糖
  • 我真想不明白,就广告那点钱,那让你过一辈子吗?
  • 2006/3/13 9:23:23   支持(13)反对(11) 回复
  • 26.厉害
  • 支持。。。。后面说的几句话我非常喜欢。。。呵呵
  • 2006/8/24 11:26:01   支持(15)反对(13) 回复
  • 27.doit
  • 我用的是厦门电信,也有类似的情况,在浏览的时候会自动的弹出一个同城信息网,我是新手没有别的办法只好在HOSTS文件里面把它的IP地址改成了0.0.0.0,我就是不想看它的广告。
  • 2006/11/16 10:52:27   支持(14)反对(12) 回复
  • 28.俺
  • 俺用山东网通,从没出现过这种事……
  • 2007/2/15 13:07:13   支持(15)反对(13) 回复
  • 29.heavenwing
  • 我现在是在家里的路由器上阻止了220.167.29.103 这个IP。但是浏览器还是偶尔会出现HTTP被挟持,变成IFrame来显示我的网页。尤其从来没有访问过的网站则是每次都被挟持。
    难道除了打电话到10000和他们理论,没有别的技术手段了吗?
  • 2007/3/20 16:02:37   支持(13)反对(11) 回复
  • 30.iveney
  • ctnnd,无法无天了。欺负中国人网络知识普及率低么
  • 2007/5/6 16:50:49   支持(13)反对(11) 回复
  • 31.小洋葱
  • 我要恐怖袭击中国电信,绑架它领导。勒索狗日的电信。

    期待者免费上网的那一天。

    打到中国电信。!!

  • 2007/11/3 23:21:43   支持(11)反对(9) 回复
  • 33.无语
  • 我这电信还放.马 打10000.也.没.用 .真.不.知.道.谁.在.庇.护.电.信.竟.然.不.顾.网.民.通.信.安.全.信.息.篡.改http.通.信.数.据.我.想.这.样.的.广.告.强.推.不.仅.侵.犯.了.网.民.个.人.隐.私.而.且.威.胁.到.国.家.安.全
  • 2009/1/19 23:18:19   支持(10)反对(8) 回复
  • 34.风
  • 现在路由这么便宜,发现电信广告,立即把它的网址放到禁止列表中。
  • 2012/1/22 10:06:48   支持(10)反对(8) 回复
  • 35.hi
  • 很久以前,网通间断有过这种情况,劫持的弹窗是阜新的网通ip
  • 2013/3/16 4:52:56   支持(9)反对(7) 回复
  • 36.暴走
  • 呵呵~我觉的应该是内部人的所为。有谁会轻轻松松控制主干路由器弹出广告!
    也许就是几个小领导为挣点外快也说不定!再也许商家给管事的小领导回扣也说不定,再也许。。。。
    呵呵,复杂着列,这个世界没有我们想像的那么干净!
  • 2006/3/14 17:13:30   支持(13)反对(12) 回复
  • 37.gggccc
  • 以前是“网络坚冰”,现在好多都用深圳那个,所谓广告直投,isp不配合没人能做到这种广告的
  • 2006/3/31 22:26:03   支持(8)反对(7) 回复
  • 38.John
  • 我是云南的用户,早就发现这个问题,我在偶尔打开www.sina.com和www.baidu.com的时候会在网页下方出现一个广告,很快就闪过。后来改用56k Modem上网。网速很慢,所以看得很清楚。楼主真是个细心人,感谢。对于这样的事,我们有办法吗?
  • 2006/8/14 21:16:32   支持(11)反对(10) 回复
  • 39.ling
  • 我今天也遇到这个了,google,百度,雅虎的搜索查询都被劫持了。专门过来这里翻资料。我网通的.......

    对于这种弹出式广告,在ie选项-安全-自定义级别-活动脚本上选择“禁止”就可以了。

    这样也造成了一些误杀......而且还不能完全生效。 暂时最好的办法就是安装上述设置后,弃用ie。

    以后打死也别用ie了。
  • 2006/9/6 13:25:53   支持(13)反对(12) 回复
  • 40.成成
  • 相信你!是中国的希望!!!!
  • 2007/5/15 1:11:30   支持(13)反对(12) 回复
  • 42.死狗
  • 恶心!把那些地址ddos了。67楼的那位,你的路由器的dhcp服务应该是被设置了mac地址绑定,不然不会没法上网的。
  • 2010/8/4 17:03:46   支持(9)反对(8) 回复
  • 43.workingbird
  • 6楼同学,如果打开了原来的地址,就不但是解析错误的问题了。不过深圳的域名服务器的确很不稳定。

    4楼同学,我在深圳,我在家上网也经常遇到这种恼火的事情。很感谢楼住这么详细的分析。我本来以为可能是电信那边控制了网关,看来可能不单是这么简单的问题。
  • 2006/3/24 13:12:03   支持(11)反对(11) 回复
  • 44.caidao
  • 电信、网通看移动运营商短信、wap、彩信push得很爽,也眼红了。流氓是必然得喽
  • 2006/8/14 16:22:50   支持(11)反对(11) 回复
  • 45.sundayonly
  • .................
    无语.
    原来是这么回事.难怪我检查了N次,都查不出原因.
    我是深圳的ADSL.出现的是当地的114广告...(说实话,恶心)
  • 2006/8/18 10:55:04   支持(9)反对(9) 回复
  • 46.xlx
  • 如果是ISP玩阴的,我记得有个哥们提供过更狠的招:把打火机的电弧打火部分拆下来对着网线轰,只要有决心,让ISP换芯片玩好了。我记得还有成本估算,换十次好像就够一年的网费了。
  • 2006/8/25 6:58:51   支持(11)反对(11) 回复
  • 47.人无耻则无敌
  • 我也是广东的,很遗憾的我也中了电信招了.
    他们最近推出了一些什么优惠套餐,的确每月能省20多元,
    可是那个服务员推荐我改套餐的态度实在热情得太过份。
    看的眼光,仿佛我是用钱做的~~
  • 2007/2/15 12:41:59   支持(13)反对(13) 回复
  • 48.SmallAnt
  • 如果你有条件的话,就像我这样用电信的单位网……
  • 2008/2/15 17:14:14   支持(14)反对(14) 回复
  • 49.i9do
  • 电信确实霸道,居然搞起HTTP劫持来了,谁知道会不会某天强制下载恶意软件呢,好在我一直禁用浏览器的js代码,如果把自动重定向禁用的话,我估计就清静了,不过会给正常访问带来些麻烦。
  • 2009/6/23 14:22:25   支持(11)反对(11) 回复
  • 51.没办法2010
  • 代码发不上来
    我这里的解决方法是:
    1.firefox 内置一个gm-script, 多个正则式202.105.165.\d+或者/gd.vnet.cn/
    正则特征还有,ABioyajopen\w*.js等等,还有电信的域名ct10000(dot)com(发贴不上来)
    检查每次获得的innerHTML; (你想想,正常的html页面内肯定不会含有上面的特征的.)
    if(match)popup(all-html), 这里看到全部劫持的代码;
    多次返回的劫持代码后,分析里面的ip, 网址u-r-l等广告的所在server,
    把对应的ip范围,域名,u-r-l等等,填入adsl宽带路由器,屏蔽;
    再也不弹出广告了. 但是存在这些广告代码时,每次浏览器会停顿2秒
  • 2010/10/10 12:41:57   支持(15)反对(15) 回复
  • 52.DickWu
  • 电信的广告已经从一个小窗口到整个屏幕了。
    实在忍不住写文章ma了一顿。
  • 2011/7/23 19:14:12   支持(9)反对(9) 回复
  • 54.williamlong
  • 现在的电信局就是这样耍流氓,我这里也是天天弹出他们的广告,想禁止都没有地方禁止。
  • 2006/7/9 22:13:23   支持(8)反对(9) 回复
  • 55.cyuyan
  • 好文,谢谢作者,我正在郁闷,新装的系统,什么安全措施都用了才敢上网,但为啥还是会有一个IE窗口一闪而过,给人的感觉就是病毒一样。
  • 2006/8/10 8:17:40   支持(11)反对(12) 回复
  • 56.路人甲
  • 在网上看到了许多类似的情况,强列要求电信不要再做如此行为,不要迫我们用过于激列的手段报服(包括发动DDOS功击,及其它手段。我就不信全中国上网人口同时发动DDOS功击你的设备可以顶得住)。
    九八博客 于 2011-12-16 0:49:30 回复
    问题是有几个人会操作啊?专业人士太少了。
  • 2006/8/13 9:12:04   支持(10)反对(11) 回复
  • 57.你们也遇到了啊
  • ××的,.四川电信,老子鄙视你, 我也遇到了这个 一个不显示的IE窗口,我右键任务栏上这个窗口的移动,箭头马上就去右边下面了.没有办法移动他。而且去GOOGLE上搜索都不能搜索,被他挡住了,马上就把GOOGLE关闭了,搜索其他的东西都可以,就是不能搜索这个 .直接输入这个,没办法打开,显示404禁止.
    220.167.29.103:9123
    希望高手都来就帮个忙拉!
    谢谢!
    来自四川! 还有 我每次把他关了,但是,当我去把游戏打开了,他自己就跟着启动了,.没次开机的时候也跟着启动,一个不显示的IE窗口,不知道是什么东西.
  • 2007/1/2 20:41:36   支持(16)反对(17) 回复
  • 58.操220.167.29.103
  • 我的和楼上的完全一样啊!无耻的成都电信 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  • 2007/1/5 12:53:25   支持(11)反对(12) 回复
  • 59.SINK
  • 我用的成都电信,被他们的这个流氓行为折磨好几个月了
    给10000打过很多电话,因为一直没有证据证实是出自什么原因,只对电信的终端产生怀疑
    但他们装聋作哑把责任推卸到我电脑有问题
    ××
    看来这个电信PUSH广告可以跟当年小日本在中国的生物杀人试验相媲美,幕后的黑手。

    那么我们是否应该用暴力来对抗暴力?黑掉 220.167.29.103:9123
  • 2007/3/8 15:50:39   支持(12)反对(13) 回复
  • 60.收集流氓电信打广告的服务器IP
  • 对了,为了尽可能地防范电信的流氓广告,请大家把电信打广告的IP地址及流氓广告的URL链接贴上,我收集之后可以更好地为大家解决被流氓电信强奸的事~~~呵呵
  • 2007/4/11 7:13:50   支持(13)反对(14) 回复
  • 61.www
  • 四川电信的人真不是人,他们劫持用户的IE不说,还让有些用户的某些软件无法使用,比如瑞星无法升级,华西证券无法登陆
  • 2007/6/3 17:09:41   支持(9)反对(10) 回复
  • 62.diguoemo
  • 幸好老子是网通的 只是在每次拨号后打开的第一个网页是本地网通的网页

    平时上网是没什么的~
  • 2008/2/5 19:30:18   支持(12)反对(13) 回复
  • 63.没办法2010
  • 前2006是每天大约2-3次弹出;现在是, 每次点击一个新链接都会弹出. 真够狠!
    看看下面是插入的代码;
  • 2010/10/10 12:41:38   支持(10)反对(11) 回复
  • 64.没办法2010
  • 解放办法二:
    把你的dns改为openDNS
    208.67.222.222
    208.67.220.220
    注意:在[本地连接]和[宽带路由器]内一起都修改才行
    改好后, 弹出广告大量减少了,几乎不弹出了.
    但今后未来怎样不晓得, 罪恶电信的对策很多的

    除非不用宽带
  • 2010/10/10 12:51:33   支持(12)反对(13) 回复
  • 65.九八博客
  • 这个问题至今仍然存在,一般人还真难以区分是谁的广告。只有我们这些草根博主访问自己的网站是才容易发现,我没有放弹窗广告怎么会有广告弹窗?
    我也是最近才发现这个广告弹窗的,而且访问我的九八博客时,经常会在网址后面加上?156464545这么一个字符串。我还以为是中毒了,今天看了你这边的文章才知道都是邪恶的电信在搞鬼。明天投诉去,这种流氓,投诉也是白费口舌。
  • 2011/12/16 0:48:31   支持(9)反对(10) 回复
  • 66.DreaMQ
  • 站长其实只要强制启用https就能防止被弹窗了
  • 2013/6/26 16:25:59   支持(5)反对(6) 回复
  • 67.williamlong
  • 建议你打电信的服务电话,看看他们能不能解决,从客户端一般是没有办法解决的。
  • 2006/8/14 21:20:53   支持(11)反对(13) 回复
  • 68.lmm2003
  • 老大,在深圳现在会经常遇上这种火人的事情....
    本来还以为是本身的问题,现在真像大白,可能真的,如楼上所说的,一切没有那么简单.....
  • 2006/3/14 16:44:56   支持(13)反对(16) 回复
  • 69.aaa
  • 我刚回的湖北,就在家上了个宽带,本想用vmware下的FC5S上上网的,也好激发学习的兴趣,个xx电信,居然给屏蔽了,屏蔽了也不早说,害得自以为网络说的过去的在家上网上不去(FC5上不去),我跑到电信问,他们居然还挺有理的.日子没法过了
    估计电信这样了,网通那边也不会好到哪去..说不定回东北也屏蔽了...
    PS问个问题:电信拨号后分配的ip是个什么ip,能做什么,不能做什么?我想知道本地电信的ip段..
  • 2006/11/4 18:15:44   支持(12)反对(15) 回复
  • 70.LIfn
  • 我是成都的,这儿的ADSL广告手段正在一步一步的升级,最开始只是DNS不解析的时候劫持到114,后来发展到劫持浏览器,就是你访问某个网站的时候他先转向到他的网站,然后再通过两个frame(帧),一个帧放他的Banner广告,一个frame放你要访问的网站,看起来就像这个网站做了一个Banner广告一样.
      今天发现更流氓了,简单要吐血,,我用Google搜索一关键词的时候,居然先跳出来一个满屏的图片广告(<html><frameset><frame src="http://125.64.34.17:80/ipush_jsp/server.jsp?user_url=www.google.cn/search?sourceid=navclient&aq=t&hl=zh-CN&ie=UTF-8&rls=GGLG,GGLG:2003-07,GGLG:zh-CN&q=%E8%99%9A%E6%8B%9F%E4%B8%BB%E6%9C%BA&task_id=0704050640"/></frameset></html>),点击以后再跳出Google搜索结果,这已经不是看不看广告的问题了,而是严重影响到我正常使用网络了...中国电信真的疯了,我也快给他们搞疯了...
  • 2007/4/5 18:02:07   支持(11)反对(14) 回复
  • 71.xxx
  • 04年到07年。。。
    3年了,没人管,没人起义。
    中国人是习惯了逆来顺受。只要没逼到绝路,都忍了。
    在家这些IP都是黑名单,最近在公司上gmail,发现263mail的广告。见鬼了,原来是电信干的好事。
  • 2007/10/24 9:21:36   支持(9)反对(12) 回复
  • 73.nvrennvren
  • 南京也一样。绝对的强制
  • 2008/12/20 23:04:33   支持(9)反对(12) 回复
  • 74.qwerrt
  • 正被电信劫持困扰,搜到这里来
    看完才发现这是好几年前的文章
    现在的劫持技术更高明了,
    比如:我打开www.williamlong.info,有一定机率会自动跳转到http://61.131.89.151/req.php?str1=...&t=...&str2=https://www.williamlong.info 再转到原地址,正常打开。这个过程很快,不易察觉,在firefox下拉地址栏能看到这些地址,直接复制地址还打不开。
    目前,更改user agent暂时能规避,但这会引起某些含有javascript的页面混乱。找了几次客服没解决,说是中毒,但,不管是其它电脑还是在Linux系统上,或者更换Moden,同样存在那个问题。唯一可能就是电信劫持。
  • 2010/7/2 16:59:24   支持(12)反对(15) 回复
  • 75.wy021
  • 原来是这样,我打开百度,每次电脑都会很诡异的一闪,还好我装了360拦截,隐约可以看到是一个什么网页闪过。可惜被拦截了它来不及被打开吧。
  • 2011/12/27 11:10:59   支持(11)反对(14) 回复
  • 76.shi
  • 现在已经2013年了,还有这情况,我是福建泉州的,主页设定的好123的网,打开IE出现的是61.131.89.151,怎么办啊?
  • 2013/8/31 22:45:41   支持(7)反对(10) 回复
  • 77.小健
  • 由于上面的连接中太长,我分开来写,?后面的内容:
    key=%C5%B5%BB%F9%D1%C7
  • 2009/6/16 10:34:32   支持(13)反对(17) 回复
  • 79.白人
  • 我是东莞电信,也会弹出广告!
  • 2012/9/19 16:11:27   支持(10)反对(14) 回复
  • 80.sysoul
  • 云南是在下面状态栏上出现横幅推送的新闻
  • 2006/8/17 23:49:53   支持(11)反对(16) 回复
  • 82.tiger
  • 做电信的人都说是了,
    大家都不上网了!
  • 2008/10/10 21:48:24   支持(10)反对(15) 回复
  • 83.天山地下
  • 哥哥你说的是不是这个劫持的案例?
    http://hi.baidu.com/bang001/blog/item/99ec4dd7863d15ce51da4b1c.html
  • 2009/12/4 12:17:19   支持(12)反对(17) 回复
  • 84.绵阳电信用户

  • 我是绵阳电信用户,也出现了上述问题,一google就到这儿来了。
  • 2007/1/7 17:31:51   支持(9)反对(15) 回复
  • 85.林
  • 打倒中国的黑吃黑,白吃白,黑吃白!
  • 2008/1/18 15:46:14   支持(10)反对(16) 回复
  • 87.DK
  • 北京网通ADSL好像就没有这个问题
    除了域名无法解析会被转到内嵌Yahoo!的广告站点,别的情况(包括被Great Firewall的)都没有被劫持的时间。
  • 2008/1/18 19:59:06   支持(11)反对(19) 回复
  • 88.x

  • 电信是在干这么龌龊的事情

    我是做电信项目的


  • 2007/3/30 11:59:21   支持(8)反对(18) 回复

发表评论:

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注我的推特:关注我的推特
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.