之前投诉过广州电信ADSL骑劫HTTP协议,强行插入弹出式广告的问题。后来发现消失了,这段时间又开始出现了,用中仙步的话说叫:“沉渣泛起”。这次非常隐秘,只要访问特定的网站才会出来,目前发现2个肯定会出现的,一个是国际电影数据库(International Movie Database)http://www.imdb.com/ ,另一个是凤凰网http://www.phoenixtv.com/。使用的方法和以前一样,也是在HTTP协议里面插入一段script,强制打开一个弹出式窗口,指向http://219.133.33.46/adportal/portal1.aspx这个页面,然后会给重定向到一个电影网站:http://film.movievnet.com/。然后会重新让浏览器去加载原来想要访问的网站。219.133.33.46这部机器还是原来那部,用的是Windows Server 2003 Enterprise Edition,IIS6作为Web服务器。开了一堆端口:
- 22/tcp open ssh
- 80/tcp open http
- 135/tcp open msrpc
- 445/tcp open microsoft-ds
- 1025/tcp open NFS-or-IIS
- 1026/tcp open LSA-or-nterm
- 2030/tcp open device2
- 3000/tcp open ppp
- 3389/tcp open ms-term-serv
- 3531/tcp closed peerenabler
- 5001/tcp open commplex-link
- 5631/tcp open pcanywheredata
- 6000/tcp closed X11
- 6666/tcp closed irc-serv
- 8000/tcp closed http-alt
这次相对比较隐蔽,打开的端口的首页中不敢出现任何信息,比如3000端口进去是这个样子的:
5001端口进去是这样子的,还是有敖天的信息在里面:
之前相关的链接:
目前会弹出窗口的网站,
- 国际电影数据库(International Movie Database)(http://www.imdb.com)
- 凤凰网(http://www.phoenixtv.com/)
- VeryCD(http://www.vercd.com/)
其他人也碰到了: