强烈抗议。 煤球也出现了类似问题,搞了半天都没有找出是什么病毒,原来是电信这个大毒瘤
广州电信绿色上网强取个人隐私
发布时间: 2007-3-23 22:41 作者: 长颈叔叔 信息来源: Lotus爱好者论坛字体: 小 中 大 打印
这段时间浏览网页,老弹出个一个窗口,指向"http://59.42.71.245:88/ndatin.aspx?param="的地址,然后再跳转到另外一个页面,查了几次毒都没发现,上网查了一下,发现是中国电信的绿色上网功能,明明没有开通这个服务却被强制安装了,虽然对电脑没有影响,但很反感这种强制加给用户的东西。最后打10000给中国电信,先找绿色上网的话务员,对方确认我没有使用绿色上网,要不是我坚持在网上搜索过59.42.71.245这个地址是电信绿色上网服务的话,就给电信忽悠过去了,后来转到数据专员,对方好像已经不是第一次接到类似电话,很熟悉的就告诉我下单,让后面解决。
希望这篇文章对其他有类似问题的网友有帮助,同时收集了网上的其他一些信息。
前段时间电信用户站长们反映他们打开网页时老是弹出一个小窗口,自己的机器好好的,只要一打开网页就会弹出来,还有的站长反映只要连网就会每隔几十分钟弹出一次,对于像CS 爱好者来说这是一个巨大的打击,无法忍受,很多人怀疑是木马,用金山用瑞星用诺顿都杀一次,还是没有查出问题,最后非常无奈到网络上来求救。为了让大家少走很多冤枉路,我这里进行一次比较客观的说明,如果有不正确或不足的还请修正补充;
如果你网络经验比较多的话你可以从源文件中获取下面这段代码:
<HTML><script language="JavaScript">
function newwin()
{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=10000,left=10000 ';window.open('http://220.167.29.103:9123/ndatin.aspx?param=ABdXNlcm5hbWU9YWNjZXNzdGliZXR0b3VyJnBvbGljeWlkPTM=&ref=1','ips_win0',win_attr);
}
</script>
如果你够细心,你会发现你打开每个网页的时候都会刷新两次,比如你打开 http://www.anywolfs.com/liuhui ,浏览器不会直接转到这个网址上来,而是转道一个http://220.167.29.103:9123?..... 后面跟一段非常长的参数,如果你查看源代码你会发现是这些代码:
<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://220.167.29.103:9123 /ndatin.aspx?param=ABdXNlcm5hbWU9MjIyMDAwOTBAcXphZHNsJnBvbGljeWlkPTIx&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://www.anywolfs.com/liuhui?'></frameset></HTML>
之后才会从新跳转到http://www.anywolfs.com/liuhui的主页上面来,为什么会有上面这段代码呢?细心的用户会发现,这段代码只出现在电信用户群中,网通和铁通用户都没有这些问题:
其实以上这段代码是用来验证和传递我们上网的一些信息的,它会将我们上网的一些记录传递给电信的这台服务器,目的是监视我们上网状况。
当然它本身不会对我们的使用造成多大的伤害,只是给人感觉好象自己的秘密被人窃听了,非常的不舒服。
我想看了我这片文章的站长们应该了解具体问题了,希望大家不要浪费时间去查杀它,我们只能无奈的被电信强奸,而且没有反抗余地
还有其他的ip是:219.133.33.37:7010
219.133.33.46
211.147.5.121
220.167.29.102:5001
220.167.29.103
61.153.48.121
219.133.33.37:7010
59.42.71.245
222.77.14.235:8787
59.42.71.245:9123
59.42.71.199
其他我就不列举了--------
相关回复长颈叔叔 (2007-3-23 22:42:42)
原文地址:http://www.liyugang.cn/article.asp?id=315
最近你们上网会不会跳转到
类似
http://59.42.71.245:88/ndatin.as ... 01vdmllTG9naW4ucGhw
或者类似
http://61.144.122.9/index.jsp?url=http://www.im286.com
接着弹出一个小广告。然后弹出
http://welcome.gd.vnet.cn/
别以为你不用IE就不会弹,用FireFox 和 Opera 也一样会弹,想不要他弹出来,不用电信的宽带就可以
这段过程将记录了您的IP和你的帐号信息发送到一个指定的邮箱openet@www.openet.com.cn
同时记录你浏览的网页地址,保存到服务器的Oracle数据库中
里面记录着白名单和黑名单,如果访问的是黑名单中的网址,直接让你无法访问。
如果出现以上症状,请不要怀疑你中了木马或者装了什么插件引起的。
这个是用了电信的ADSL宽带才会出现这种问题。
他们太霸道了,大家有这个问题的请打爆10000投诉吧,要不我们以后上网隐私都被曝光了,还有安全隐患
广州的是
http://59.42.71.245/
http://61.144.122.9/
http://59.42.71.245:88
深圳的是
http://219.133.33.39:7000/
http://219.133.33.39:6000/
程序代码
<%@ Page language="c#" Codebehind="default.aspx.cs" AutoEventWireup="false" Inherits="ICS.UserLogin" %>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
<HTML>
<HEAD>
<title>傲天互联网内容控制系统(Openet ICS)</title>
<meta content="Microsoft Visual Studio 7.0" name="GENERATOR">
<meta content="C#" name="CODE_LANGUAGE">
<meta content="JavaScript" name="vs_defaultClientScript">
<meta content="http://schemas.microsoft.com/intellisense/ie5" name="vs_targetSchema">
<SCRIPT language="javascript" src="/js/ui.js"></SCRIPT>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="css/style.css" rel="stylesheet" type="text/css">
</HEAD>
<body leftmargin="0" topmargin="0" MS_POSITIONING="GridLayout" scroll="no">
<form id="UserLogin" method="post" runat="server" hight="100%" width="100%">
<table bgcolor="#0041dd" width="788" height="100%" border="0" cellpadding="0" cellspacing="0"
align="center">
<tr>
<td valign="top"><FONT face="宋体"></FONT>
<br>
<table width="666" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td colspan="3"><img src="images/default_table_top.gif" width="666" height="77"></td>
</tr>
<tr>
<td><img src="images/default_table_left.gif" width="81" height="257"></td>
<td width="505" valign="top">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td colspan="2" align="center"><img src="images/ctlogo.gif" width="128" height="47"></td>
</tr>
<tr>
<td colspan="2" align="center"><img src="images/default_title.gif" width="400" height="34"></td>
</tr>
<tr>
<td width="75%" align="center"> </td>
<td width="25%">
<asp:label ID="Label1" runat="server" Font-Size="10px" BackColor="Transparent" Height="2px"
ForeColor="White" Font-Bold="True"></asp:label></td>
</tr>
</table>
<table border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td height="55" colspan="3" background="images/login_top.gif">
<table width="80%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr align="center" valign="bottom">
<td height="25">用 户</td>
<td height="25">密 码</td>
</tr>
<tr align="center">
<td height="25">
<asp:textbox ID="txtHandsetNumber" runat="server" EnableViewState="False" CssClass="defaultinput"></asp:textbox></td>
<td height="25">
<asp:textbox ID="txtPassword" runat="server" EnableViewState="False" TextMode="Password" CssClass="defaultinput"></asp:textbox></td>
</tr>
</table>
</td>
</tr>
<tr>
<td width="76" height="56"><img src="images/login_left.gif" width="76" height="56">
</td>
<td width="226" valign="top">
<asp:imagebutton ID="btnLogin" runat="server" text="Login" ImageUrl="images/login_button.gif" Width="226px"
Height="55px"></asp:imagebutton></td>
<td width="72" valign="top"><img src="images/login_right.gif" width="72" height="56"></td>
</tr>
</table>
<table width="95%" border="0" align="center" cellpadding="0" cellspacing="0">
<tr align="center">
<td height="18">
<asp:requiredfieldvalidator ID="RequiredFieldValidator1" runat="server" ControlToValidate="txtHandsetNumber"
ErrorMessage="用户名必须输入" EnableClientScript="False"></asp:requiredfieldvalidator>
<asp:regularexpressionvalidator ID="RegularExpressionValidator3" runat="server" ControlToValidate="txtHandsetNumber"
ErrorMessage="32个字符以内的字母或者数字" ValidationExpression="\w{0,32}" EnableClientScript="False"></asp:regularexpressionvalidator>
<asp:requiredfieldvalidator ID="RequiredFieldValidator2" runat="server" ControlToValidate="txtPassword" ErrorMessage="密码必须输入"
EnableClientScript="False"></asp:requiredfieldvalidator>
<asp:regularexpressionvalidator id="RegularExpressionValidator1" runat="server" ControlToValidate="txtPassword"
ErrorMessage="32个字符以内的字母或者数字,允许包含下列特殊字符!@#$%^&*()" ValidationExpression="([a-zA-Z0-9_!@#$%^&*()]){4,16}"
EnableClientScript="False"></asp:regularexpressionvalidator>
<asp:label ID="txtResult" runat="server"></asp:label></td>
</tr>
</table>
</td>
<td><img src="images/default_table_right.gif" width="80" height="257"></td>
</tr>
<tr>
<td colspan="3"><img src="images/default_table_bottom.gif" width="666" height="69"></td>
</tr>
<tr align="center">
<td colspan="3">地址:深圳科技园南区科技南十路深圳国际技术创新研究院A座二楼 电话:0755-26727778
<br>
传真:0755-26727199 邮编:518057 服务邮箱: srv@openet.com.cn</td>
</tr>
</table>
<asp:textbox ID="TextBoxflag" runat="server" Width="104px" Visible="False"></asp:textbox></td>
</tr>
</table>
</form>
</body>
</HTML>
最近几天,我一打开浏览器(IE/Maxthon都是),输入任何网站,就不断提示“禁止了一个弹出窗口”,机器差点都会给整死。感觉不对径,马上查看页面源代码,发现都被篡改为一下HTML内容:
--代码开始----------------------
<HTML><script language="JavaScript">
function newwin()
{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=5000,left=5000 ';window.open('http://59.42.71.245:9123/Blank.aspx?param=ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx','ips_win0',win_attr);
}
</script>
<head><title></title><META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META http-equiv="Content-Type" content="text/html;charset=gb2312"><meta http-equiv="Refresh" content="0; url=http://www.maxthon.com/"></head><body onload='newwin()'> </body></html>
--代码结束----------------------
注意点:
1、访问任何网站,都马上被改为以上脚本!
2、“body onload='newwin()'”这个动作,它是要打开一个没有任何样式、而且位置不可能显示的窗口(目的就是要隐藏!);
3、该窗口都无一例外地指向“http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx”;
终于明白为什么了。马上用纯真IP数据库查询地址“59.42.71.245”,结果是“地址: 广东省广x市 CZ88.NET”,也就是广x市。
马上上网搜索,因为这个东西的存在,所以我安装了FireFox,它能勉强地允许我浏览网站。到google和baidu搜索“59.42.71.245:9123/Blank.aspx”,果然,中招的人很多!矛头都指向广x电信的所谓“绿色上网”。
本人是经验丰富的开发人员,有着超过4年的.NET开发经验,一看“Blank.aspx”,马上意识到这是用ASP.NET写的Web应用。马上用FireFox浏览“http://59.42.71.245:9123/Blank.aspx”,获得页面HTML源代码,如下:
--代码开始----------------------
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
<HTML>
<HEAD>
<title>Blank</title>
<meta name="GENERATOR" Content="Microsoft Visual Studio .NET 7.1">
<meta name="CODE_LANGUAGE" Content="C#">
<meta name="vs_defaultClientScript" content="JavaScript">
<meta name="vs_targetSchema" content="http://schemas.microsoft.com/intellisense/ie5">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<script language="JavaScript">
function closeit()
{
//setTimeout("self.close()",10) //毫秒
setTimeout("window.opener=null;window.close()",10);//十秒后关闭
}
</script>
</HEAD>
<body MS_POSITIONING="GridLayout" onload="javascript:closeit()">
<form name="Blank" method="post" action="Blank.aspx" id="Blank">
<input type="hidden" name="__VIEWSTATE" value="dDwtNjU0MzcyMTk1Ozs+jPunIYP0tyLmcNLWqLTPhdY8wNc=" />
<FONT face="宋体"></FONT>
</form>
</body>
</HTML>
--代码结束----------------------
很明显,这是用C#写的。经验告诉我,可以访问“http://59.42.71.245:9123/”看看。果然,这个目录允许文件列表查看:
--列表开始----------------------
59.42.71.245 - /bin/
--------------------------------------------------------------------------------
[To Parent Directory]
2005年6月20日 13:53 77824 CommonModule.dll
2005年6月28日 13:29 24576 localhost.dll
2005年6月28日 13:29 28160 localhost.pdb
2005年6月20日 13:53 28672 SDPSysUtility.dll
2005年6月20日 13:54 335872 UserAccessComponent.dll
--列表结束----------------------
OK,看见这些文件,我马上想到下载,很搞笑,竟然允许下载!把以下文件下载:
1、localhost.dll(就是blank.aspx所在的ASP.NET程序的主程序集);
2、localhost.pdb(localhost.dll的调试库,没有用);
3、CommonModule.dll(公用模块);
4、SDPSysUtility.dll(做安全和加密用的);
5、UserAccessComponent.dll(这是关键!等一下大家看看广X电信的丑恶嘴脸!);
现在,有经验的.NET开发人员知道怎么做了吧?当然是请出Reflector(www.denisbauer.com/NETTools/)了!真是服了开发人员,很明显前端(ASP.NET)写代码的程序员水平不高,编码又不规范。。。呃,不要扯远了。最关键的是它们没有使用混淆,那我们的反编译就能达到目的了!在Reflector配合Reflector.FileDisassembler(http://www.denisbauer.com/NETTools/FileDisassembler.aspx)之下,我将这4个程序集大卸八块,把所有的源代码都反编译出来。
先看localhost.dll的源代码:
1、C# 1.0写的,即VS2002;
2、WebForm1没有值得关注的代码;
3、重点在Global.cs:#41行,Application_Start(即整个应用启动的时候),计时器启动-》#66行,TimerUp_Elapsed(计时器间隔):在这里,我们看到它不断将你要访问的网站的信息写到temp\下面的新文件中,并且上传到FTP。
4、核心在ICS.IllegalUserAccess.ShareAccess.Blank中:
a).看命名空间(名字),我们明白这是用以控制非法用户访问网站的程序,从ICS这3个字母,我猜是Internet Control System的缩写,也就是互联网控制系统。
b).在#34行Page_Load(Blank页面加载),在对param(就是“ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx”这个参数)几次运算之后,获取了你的机器外部IP(#67行),并且将你的用户名、IP地址加密之后(#77行),写到你本机的Cookie中(#85行),为期10天(#86),并且将这个Cookie信息写入服务器的文件中(刚才的第三步)。
再看SDPSysUtility.dll的源代码:
1、这个代码主要是进行加密;
2、主要类是“SecretProcess.cs”,调用了TicketTool,使用了TripleDES加密算法;
3、其它OpTicket和OperAuthen都是对所谓的访问“令牌”和操作认证而实现的;
再看CommonModule.dll的源代码:
1、这是公用模块;
2、使用了Oracle数据库;
3、会把用户密码发送到“openet@www.openet.com.cn”,查了一下“http://www.openet.com.cn/”这个网站,是“傲x信息技术(深圳)有限公司”,可以理解为:这个所谓的“绿色上网”的东西是这家公司开发的,至于为什么把密码发送到它们公司,呵呵,可能是这家公司操守有问题,留后门吧
最后看UserAccessComponent.dll的源代码:
1、这是整个应用的最核心地方,里面的安全操作与Oracle数据库交互,让你大开眼界!
2、我最感兴趣的是:
a).“BlackList.cs”:黑名单;
b).“BlackListManage.cs”黑名单管理;
c).“BlackUserManage.cs”:黑用户管理;
d).“DefyUserManage.cs”:拒绝用户管理;
e).“DoubtUser.cs”:置疑用户;
f).“ExpiredUser.cs”:过期用户;
g).“WhiteList.cs”:白名单(竟然还有白名单!嘿,我才应该是一些zf网站吧!);
h).“WhitePortManage.cs”:白端口管理(天!端口都控制了!);
i).“WhiteUserManage.cs”:白用户管理;
3、因为这个东西实在大,我就不一一分析,有兴趣的看家可以自行研究。
说明:
1、以上对英文代码的中文注释或者说明皆为我自己的理解和翻译的,可能跟实际情况有差异;
2、这里对每个敏感名词都进行了忌讳处理,如有雷同,纯属巧合!
3、我们公司有另外一个同事跟我的遭遇一样,开始以为是在本地对IE安装了插件进行了篡改,但找遍了注册表和硬盘都没有踪迹,用了各种木马和杀毒软件也没有找到,但有另外几个同事却没有,实在想不通它是在哪里开始进行篡改的。
hanjun (2007-3-24 10:31:53) |
冷艺婕:10.17黄金新高不猜顶继续多 原油放47 人气#主 论 坛
油价创五年新低!主要大宗商品“形同陌路”62 人气#主 论 坛
2025.10.17 图文交易计划:原油坚决阴线 空51 人气#主 论 坛
2025.10.16 图文交易计划:镑加表现强势 关74 人气#主 论 坛
h:
显身卡
微信微信
官方微博