-
现象
江西客户手机端连接wifi打开URL,页面上显示淘宝店铺广告,使用手机移动网络打开正常,其他地区正常。
二. 处理过程
- 初步分析:3g.club项目使用了CDN,目前只有江西异常,其他地区无异常,说明问题范围仅在江西地区,根据业务人员反馈的问题现象,以及以往类似问题处理经验,该问题原因是可能是页面某个js被污染,导致污染的原因可能是dns解析被劫持
- 检查江西dns对3gclub的解析情况:我们使用江西dns对3g.club进行解析,并让客户在本地ping 域名返回结果,检查解析的IP是否是云端CDN节点,发现我们解析的IP和客户ping结果均正常,节点正确,排除dns解析被劫持原因
- 向云端CDN技术反馈问题现象,协助排查问题
- 统计出现此问题的客户端类型,发现手机自带的浏览器和匀加速功能的浏览器均出现问题,排除第三方浏览器云加速导致的问题;由于江西只有一家客户,而且用的是电信网络,所以暂时定位为出现问题的均是电信用户
- 检查江西节点上页面文件,我们将请求江西节点返回的页面、请求北京地区返回的页面、请求内网服务器返回的页面进行比较,发现页面正常,排除了江西节点到源站之间链路原因,推测原因可能在客户移动端到节点之间链路问题
- 由于手机没有firbug,无法抓去页面元素,我们试着使用客户那边同局域网内的电脑访问URL,结果问题没有复现。推测可能在劫持时候对request header 里User-Agent有判断。最后使用firfox插件,修改request header里User Agent,模拟手机用户请求,问题依然无法复现
- 我们试着让客户在url上加了参数进行访问,发现页面正常,去掉参数之后,依然有问题。将此结果反馈给CDN技术,协助排查。发现节点缓存住了页面(默认是穿透CDN回源的),CDN技术清空缓存之后,让客户重新测试,发现问题依旧
- 最后我们使用博瑞移动端即使测试,复现了问题,拿到页面源码,查到原因是运营商机房去回上层有劫持,最后调整了联系CDN覆盖,问题解决,
三:劫持原因分析:
1.异常页面源码:
<!DOCTYPE html><html><head><meta charset="UTF-8"> <meta name="apple-mobile-web-app-capable"content="yes"> <meta content="telephone=no"name="format-detection"> <meta name="apple-mobile-web-app-status-bar-style"content="black-translucent"> <meta name="viewport"content="width=device-width,user-scalable=no,initial-scale=1,maximum-scale=1,minimum-scale=1"> <title></title> <style type="text/css">html,body{padding:0;margin:0}</style> </head><body> <iframe id="content"src="http://3g.club.xywy.com/static/20170307/127326432.htm?jid=1"width="100%"frameborder="no"></iframe> </body><script type="text/javascript"src="http://116.62.103.8/ads/adtb.js"></script> <script type=“text/javascript">document.getElementById("content").height=window.innerHeight;</script></html>
说明:通过此段代码可以看出,用户请求http://3g.club.xywy.com/static/20170307/127326432.htm?jid=1的页面已经被替换,通过在页面中嵌入了一个iframe元素,使用src属性来请求正常页面,然后在重新生成页面,将异常广告植入到页面中
2.页面异常js 分析:http://116.62.103.8/ads/adtb.js
文件内容:
var cript= document.createElement("script"); var headcont=document.getElementsByTagName("head")[0]; cript.src="http://cdn.staticfile.org/jquery/1.7/jquery.min.js"; headcont.appendChild(cript); document.onready=function(){ if($('#JDGPEOGJEO').length<1){ $('body').append('<div id="JDGPEOGJEO" style="position: fixed; width: 100%;height:124px;left:0;bottom:0; z-index:9999999; "><div id="JFEOCL" style="font-size:16px; width:16px; font-weight:600; height:16px; background:#D6CFCF; text-align:center; line-height:16px; color:#6DBEE8; position: absolute; right:0; top:0;">×</div><iframe id="content" src="http://ali.7676.com/wap/tanx/69910363.html" width="100%" height="124px" style="margin:0px; padding:0px;" frameborder="no" ></iframe></div>') $("#JFEOCL").click(function(){ $(this).parent().remove() }) } }
说明:此js 是判断页面上是否有植入的广告,如果没有的话,则重新生成广告页面,并植入页面,js中调用的方法通过ifram src属性请求http://ali.7676.com/wap/tanx/69910363.html页面,此页面显示空白,但是内部会使用script 元素加载其他js,最后加载的w.js中有各种定义的方法,如对ua判断等
下面的curl的结果
curl http://ali.7676.com/wap/tanx/69910363.html <html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0" /> <style type="text/css"> html,body{margin:0; padding:0px;}</style> </head><body> <!-- AFP两段式代码-公用代码 --> <script type="text/javascript" src="http://afpmm.alicdn.com/g/mm/afp-cdn/JS/w.js"></script> <!-- 69910363:测试 - 20170106 类型:移动网页 形式:通栏 尺寸:0x0--> <script type="text/javascript"> _mmW.q({ aid:"mm_120329371_20560783_69910363", serverbaseurl:"afpeng.alimama.com/" }) </script> </body></html>
934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
