-
-
[原创]记抓包分析百度CDN节点被入侵事件 - 上
-
发表于: 2017-9-19 19:13
-
注意:这文章是
2014-11-20写的,留了很久现在自己也不做TO C的安全了,就把文章整理发出来,留在硬盘也是烂了而已
昨晚上GF在用公司的软件想看视频,然后弹了一个XX站(你们懂的),之后就是各种弹下载APK的窗口,而且这个窗口经看了下网页脚本的代码,为1秒种就弹一次。因为我手机也装有同样的软件,这尝试了下,确实会出现GF说的那个问题。 
今天来到公司再次尝试,发现问题依然存在,弹的和昨晚看到的网页是一样的内容,后面再多次尝试的时候发现弹的是游戏推广的APK。我和同事反馈了这个问题,他联系了相关的同事,后面就不得而知了。
为了了解这个到底是怎么个情况,只能自己分析了。
前期准备工作:
1.抓包工具
2.在虚拟机用软件创建一个WIFI热点(该热点走的是NAT的方式)
一。复现场景
这个比较简单,因为之前我打开过弹了一次,当我退出浏览器再次打开的时候它并没有出现,其他同事也是打开过就不重现了。由于服务端能得到的信息其实并不多,要做到只弹一次,除了限制IP地址和COOKIE之外,服务端能做到的就这么多了。于是我把浏览器里面的COOKIES清除了,再次重试,发现又弹了。
二。抓包分析
既然我们能够重现这个场景,那我们接下来就是抓下包分析下到底怎么了。由于在弹窗的时候看到的域名是http://sahdonwqpndpans.29so.com,所以我就看了下我打开测试链接时所查询的所有域名日志,如下图
注意我框出来的查询的域名里面,我们先找到可疑的域名,然后我们再到数据包中找下这个是怎么来。
我们看到这个DNS查询返回的结果是正确的,而且它返回了两个IP
默认的系统会先使用第一个IP地址。得到地址后我们可以过滤下,只显示和这个IP地址有关的数据包,我们看下他们之间是有什么联系
前面框的说明183.60.235.53这个IP已经和我们建立了连接,下面GET请求就是正式访问网页里面的内容了。但是从我捕获到的数据包中来看这个53的服务器,是回复了我们的请求,然后再执行GET请求的。但是TCP的第一次握手并没有看到,这个是很可疑的!!!(也可能是我抓包不全) 
从上面的图来看,我们物理机出口很奇怪的访问了53这个服务器 而从下面的图我们可以得知TCP的连接非常不正常
同步发送和同步确认发送极为不平衡!到此我们可以确认的是这次的网页浏览非常不正常。还记得我在上面截图中框出来的的DNS查询中另外3个无规律的“域名”吗?这个根本就不是一个域名。问题来了?既然这3个都不是一个正常域名,怎么会在我们的数据包中出来把它当做域名来查询呢。那就只有一种可能,就是53这个服务器被蠕虫感染了,它不对断的对外创建连接,然后所有的访问到这个服务器的客户端都会收到它劫持转过去的XXX网站。后来查了下这个IP地址,我当时惊呆了
换句话说就是百度的这个CDN节点服务器被病毒感染了,导致了我们文章中开头提到的奇怪的事情。后来我装了百度的浏览器,打开测试页同样出现了XXX网站。原因就是百度的CDN服务器被病毒感染了,所有经过它的节点的客户端都会被它劫持跳到病毒指定的网页上。到目前为止我这边出现的页面有两个
另一个则是
到此整个事件的来龙去脉我们也搞清楚了,并不是我们产品有问题也不是我们的服务器有问题,只是我们用到了百度的这个CDN的节点,我们也是受害者。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
