今天打开电脑准备搜索资料时候,突然发现自己的浏览器书签被修改了,仔细想了一下,可能因为这两天下软件造成的。书签因为几日前同步来着,多了几个,当时以为是云同步过来的,被我删掉了。书签管理里搜索了一下有以下几个书签URL被新增和更改:
正在想改回的时候,突然来了好奇心,反正休假没事,研究一下看看为什么要改动URL,难道是遇到了刷流量?针对第一个“百度”书签的新URL就有了以下内容:
Get一下 http://2474.new.favo.njb97.com/截图
页面中看到一个友盟计数器:id=1263556672
一个跳转新地址:http://baidu.yni84.com/new.php
继续GET后截图
地址返回是再次跳转:https://www.baidu.com/?tn=88093251_33_hao_pg
根据得到的这些信息,我们来看一下:
不算百度和友盟,我们找到两个域名: njb97.com和yni84.com。
njb97.com的IP地址:47.97.45.113,阿里云服务器
Get:njb97.com获得截图如下:
又见跳转:https://www.ylclock.cn/,继续Get
终于标准页面了。好吧,查一下IP信息:
和njb97.com的信息一致,证明这几个域名都是解析到这台服务器上了。
网上百度了一下,看是否有一致问题的,结果发现有网友发问相同问题,只是地址不同,其域名为:gng92.com。
gng92.com的IP地址:121.40.54.198,阿里云服务器
我们继续看yni84.com的IP地址:121.40.54.198,阿里云服务器
发现相同点没?域名bz.cn和域名www.bz.cn在这两台服务器上,证明这两台服务器均是一家公司的。
下面我们再来看看所涉及的几个友盟计数器ID得到的截图:
最后这个需要特殊说明一下,我收藏的是seeseed.com,被改动URL后,指向变为:699pic.com。都权重7了还劫持人家权重1的,我真是无语了。
看得出NB的企业,做事没下线,非法更改用户书签URL,获取用户信息,并导流。