可以试一下,在浏览器界面中登陆Hotmail或Live.com的时候FF浏览器的NoScript会阻拦一个源自 XXX.ndns01.com的脚本
地址很长,如下:
Gmail: http://mail.google.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064zuzhuzzz-serverlogin.shaoxingshi900.ndns01.com/web/gmail/Gmail?url=index
雅虎邮箱: http://login.yahoo.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064zuzhuzzz-serverlogin.jizhong900.ndns01.com/web/yahoo/Yahoo?url=index
,该脚本记录登陆密码或提示是否保存密码至ndns01.com。很明显是一个HTTP劫持,因为本地ISP也经常无 耻的劫持所有国外网站的HTTP访问,所以就没太当回事。
登陆了一下Gmail,发现居然也被劫持了。因为不确定是不是本机的问题,所以找了个干净的 虚拟机登陆,发现同样被劫持...再查...
剩下的事情不多说了,转一篇文章看:
http://www1.eastgame.org:8088/viewthread.php?tid=2529&extra=page%3D1
如果这两天国内的同学们有网页登陆的以上邮箱的经历,检查一下,照方抓药吧。有嫌疑的至少改改密码什么的。
此次劫持目前似乎只针对Gmail、Yahoo Mail、Hotmail(Live.com)
经查询,其域名信息为:
Domain Name : ndns01.com
PunnyCode : ndns01.com
Creation Date : 2009-05-31 21:06:58
Updated Date : 2010-07-05 00:28:03
Expiration Date : 2012-05-31 21:06:54
Registrant:
Organization : gu long
Name : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Administrative Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com
Technical Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com
Billing Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com
有意思的是:“long con”的意思是“大骗局”。看过美剧《LOST》的同学应该还有印象。
已经报告了欺诈网站。
经查询,其域名信息为:
Domain Name : ndns01.com
PunnyCode : ndns01.com
Creation Date : 2009-05-31 21:06:58
Updated Date : 2010-07-05 00:28:03
Expiration Date : 2012-05-31 21:06:54
Registrant:
Organization : gu long
Name : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Administrative Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com
Technical Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com
Billing Contact:
Name : gu long
Organization : gu long
Address : shijiazhuang
City : shijiazhuang
Province/State : hebei
Country : cn
Postal Code : 050043
Phone Number : 86-031-187935114
Fax : 86-031-187935116
Email : longcon@sina.com
有意思的是:“long con”的意思是“大骗局”。看过美剧《LOST》的同学应该还有印象。
已经报告了欺诈网站。
随便找了一个
mail.google.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064z
uzhuzzz-serverlogin.shaoxingshi900.ndns01.com
解析出来IP查询是绍兴电信...
mail.google.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064z
uzhuzzz-serverlogin.beij900.ndns01.com
这个解析出来是北京联通
login.yahoo.com-sfmail-dns001account-3dframeuioutmntmp.spvdhtml-template-800064z
uzhuzzz-serverlogin.jizhong900.ndns01.com
"冀中"
解析出来ip 是河北沧州
看来这"黑客"还玩分布式负载均衡... 名字都挺规范... "黑的"机器分布挺广
找到其中一个,看看后台:
type Exception report
message
description The server encountered an internal error () that prevented it from
fulfilling this request.
exception
java.lang.NullPointerException
com.run.web.gmail.Gmail.doGet(Gmail.java:57)
javax.servlet.http.HttpServlet.service(HttpServlet.java:617)
javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
com.run.filter.Restrict.doFilter(Restrict.java:132)
note The full stack trace of the root cause is available in the Apache
Tomcat/6.0.18 logs.
没有评论:
发表评论