这是一个创建于 3142 天前的主题,其中的信息可能已经有所发展或是发生改变。
程序员快给你代码中的 cnzz 统计代码删了,有毒!
最近几天打开网址动不动就是 chrome 的安全警告如下图: 
一开始没怎么注意,因为知道 chrome 升级快,可能是证书的问题,点了下面的《详细信息》《忽略》
然后不停的是这个页面,我就开始怀疑是不是被 dns 劫持了,于是查看了 dns 发现没有毛病,各种换 DNS ,依旧有这个报警。
然后我就开始对报警的页面查看源代码,根据 entry.ximeifang.com 线索,发现是 cnzz 的代码被感染了。如下图: 
然后我又对这个域名的所有者信息查询到如下图: 
打开这些网址发现网站是这样的,基本确定是一个人! 
然后多次测试发现只要是带有 cnzz 统计代码的基本上都中招了,不知道是 cnzz 内部的问题还是第三人劫持,看来大家为了推广 https 也是够拼的!
第 1 条附言 2017-03-26 22:28:27 +08:00
基本确定是http劫持,但是因为很多网站都用的是cnzz的http代码,所以建议大家本地hosts上屏蔽cnzz.com下的域名。如果是站长程序员,请更新你的统计代码,走https
 | 1 shiny 2017-03-26 21:44:00 +08:00 除了 DNS 污染还有 http 劫持。劫持统计网站的 js 是很常见的手段。 |
 | 2 keinx OP @shiny DNS 劫持应该不是,因为我这边换了好几家 DNS (清了 DNS 缓存),依旧有,运营商劫持的话也应该不是,我在网上找这个问题,发现最近也有其他地区联通用户中招,我是电信,而且地区也不一样。 不清楚是 cnzz 还是机房被入侵。 |
 | 3 qiayue PRO 楼主试试 qiuyumi.com ,我这里不是最新版 chrome |
) | 5 realzsy 2017-03-26 21:54:21 +08:00 via Android mark ,看后续大家讨论情况 |
 | 6 1265578519 2017-03-26 22:15:04 +08:00 你自己网站服务器问题,别怪 cnzz |
 | 7 nfroot 2017-03-26 22:15:11 +08:00 @keinx @qiayue @shiny @realzsy 可以确定的是, keinx 和 qiayue 的站点在调用 js 文件的时候是 http 而不是 https ,所以基本考虑原因是 JS 被劫持了。 可以试试我的站点 http://t.cn/R6JDL20 我这里测试你们的都没问题 |
| 8 nfroot 2017-03-26 22:16:09 +08:00 和你们不同的是,我的统计代码都走 https 渠道 |
| 9 keinx OP @1265578519 和我的网站服务器有毛线关系 我访问的网站好多都是,我自己的网站走的 https 没毛病 明显是要么有人恶意给 cnzz http 里面劫持加了代码,要么就是 cnzz 自己加了代码 |
| 10 keinx OP |
 | 11 victsdo2005 2017-03-26 22:32:57 +08:00 个人觉得是 hosts 的问题吧。。。 以前用 chrome 很久都没遇到过安全警报 换 hosts 后时不时就会有 |
 | 13 crab 2017-03-26 23:07:26 +08:00  3 address=/bshare.cn/0.0.0.0 address=/bashare.cn/0.0.0.0 address=/3001.net/0.0.0.0 address=/pic.x.soso.com/0.0.0.0 address=/pingma.qq.com/0.0.0.0 address=/51.la/0.0.0.0 address=/umeng.com/0.0.0.0 address=/cnzz.com/0.0.0.0 address=/tajs.qq.com/0.0.0.0 address=/nsclick.baidu.com/0.0.0.0 address=/doubleclick.net/0.0.0.0 address=/beacon.sina.com.cn/0.0.0.0 address=/sax.sina.cn/0.0.0.0 address=/sj.qq.com/0.0.0.0 address=/s.pcapps.qq.com/0.0.0.0 |
 | 14 palytoxin 2017-03-26 23:16:41 +08:00 via Android 14 年我的 cnzz 也被劫持,问了客服没办法。最后弃用了 |
 | 15 RobertYang 2017-03-26 23:23:20 +08:00 via Android 百度统计也会被劫持为广告 (移动端) |
 | 16 HLT 2017-03-26 23:25:36 +08:00 应该就是劫持的 |
 | 18 cenxun 2017-03-26 23:50:35 +08:00 via Android jb51 偶尔会出现,不是运营商劫持么,上海联通 |
 | 19 Chalice 2017-03-26 23:57:29 +08:00 http 劫持了,我这里也复现了  ) |
 | 20 miaomiao888 2017-03-27 01:41:28 +08:00 @dong3580 0.0.0.0 相当于直接返回空域名 127 在浏览器上可能还需要一点时间连接 |
 | 21 skylancer 2017-03-27 02:21:15 +08:00 @1265578519 回帖前看清楚帖子是好习惯 |
 | 23 Osk 2017-03-27 04:04:52 +08:00 via Android |
 | 24 darrenfang 2017-03-27 07:26:38 +08:00 via iPhone 上周刚升级到 https |
 | 25 dong3580 2017-03-27 08:28:38 +08:00 via Android @miaomiao888 感谢普及知识 |
 | 26 benbenzhangqi 2017-03-27 09:07:27 +08:00 @keinx 我这边正常访问 |
 | 27 MuaGeWang 2017-03-27 09:18:02 +08:00 感谢提醒 |
 | 28 yidinghe 2017-03-27 09:24:33 +08:00 via Android CNZZ 是不是中国智障的意思蛤。。。。 |
 | 29 klwlkj 2017-03-27 09:24:45 +08:00 Adblock 好像默认已经屏蔽了各种统计 |
 | 30 missqso 2017-03-27 09:39:38 +08:00 via iPhone wp 博客统计的话有何推荐啊 |
 | 31 crazykuma 2017-03-27 09:51:58 +08:00 表示我的统计代码没问题 |
 | 32 denghongcai 2017-03-27 09:55:34 +08:00 确定是劫持吗?我开 VPN 、换个网络都有问题,总不能是骨干网的 http 劫持吧 |
| 33 keinx OP @denghongcai 难道是 cnzz 服务器被黑 |
 | 34 zrj766 2017-03-27 10:10:06 +08:00 via Android 早就换百度了, cnzz 被收购了以后各种抽风 |
 | 35 visonnn 2017-03-27 10:10:35 +08:00 cnzz 是个大坑 |
 | 36 zangev5 2017-03-27 11:01:03 +08:00 哈哈哈,我也是被提示安全错误了。全局的 VPN 模式下诶。 |
 | 37 woshinide300yuan 2017-03-27 11:05:40 +08:00 @RobertYang 你这么说的确是诶~ 我有时候刷博客就出来一个底部悬浮。 百度的 HTTPS 没用吗都= = |
 | 38 PixelCode 2017-03-27 11:15:38 +08:00 好像没看到楼主说的, http://openbra.in  |
 | 39 LanFomalhaut 2017-03-27 11:17:05 +08:00 运营商 HTTP 劫持只劫持 JS 文件这种是最恶心的..( https 大法好) |
| 40 MuaGeWang 2017-03-27 11:17:24 +08:00 1 应该是部分地区的劫持 我把 http://c.cnzz.com/core.php?web_id=1256960712 放入 www.17ce.com 部分地区返回的结果大小是 574B ,和楼主截图一样。 大小为 763B 的地区未被劫持。 |
 | 41 lyragosa 2017-03-27 11:20:54 +08:00 我这里是用的 https 版的 cnzz ,没有发现被劫持 |
| 45 keinx OP @honeycomb 明白这个道理,但是这次 cnzz 这个是不是运营商所为不好说,因为据我统计有联通的有电信的,而且地区也不一样。 |
 | 47 taozhijiangscu 2017-03-27 11:42:45 +08:00 https 正常, 23333 |
 | 48 morethansean 2017-03-27 11:46:43 +08:00 |
| 49 taozhijiangscu 2017-03-27 12:31:30 +08:00 回源也可以 https 啊 |
 | 50 ragnaroks 2017-03-27 12:39:52 +08:00 cnzz 不就是因为被劫持的多了所以搞了 https? |
| 51 RobertYang 2017-03-27 13:40:02 +08:00 via Android @woshinide300yuan 没用,应该是统计 js 没有 hsts 的锅?最明显的例子是 it 之家,联通电信均有出现 |
 | 52 benbenlang 2017-03-27 15:49:01 +08:00 看了下没问题啊。。。应该不是 cnzz 的问题,老牌子统计了,比百度省心。 |
 | 53 dot 2017-03-27 16:44:13 +08:00 全站 HTTPS 可避免…… CNZZ 用了很久了,貌似一直也没啥问题 |
| 54 morethansean 2017-03-27 17:35:45 +08:00 @taozhijiangscu 但是回源也可以选择协议跟随啊…… |
 | 56 b7898585 2017-03-27 22:15:31 +08:00 <script type="text/Javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_4906525'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s96.cnzz.com/stat.php%3Fid%3D4906525%26show%3Dpic1' type='text/Javascript'%3E%3C/script%3E"));</script> 这行算 http 还是 https ? |
 | 58 Soar360 2017-03-28 12:10:06 +08:00 换 HTTPS 吧。 |
 | 59 bianke 2017-03-28 16:48:05 +08:00 什么劫持不劫持,根本就是 cnzz 自己搞的木马,估计这家公司免费统计成本太高,老板最近穷疯了,卖这种流量。。。 |
Select Language