解决一起web 页面被劫持的案例

1. 现象

　　　　　江西客户手机端连接wifi打开URL，页面上显示淘宝店铺广告，使用手机移动网络打开正常，其他地区正常。

二. 处理过程

1. 初步分析：3g.club项目使用了CDN，目前只有江西异常，其他地区无异常，说明问题范围仅在江西地区，根据业务人员反馈的问题现象，以及以往类似问题处理经验，该问题原因是可能是页面某个js被污染，导致污染的原因可能是dns解析被劫持
2. 检查江西dns对3gclub的解析情况：我们使用江西dns对3g.club进行解析，并让客户在本地ping 域名返回结果，检查解析的IP是否是云端CDN节点，发现我们解析的IP和客户ping结果均正常，节点正确，排除dns解析被劫持原因
3. 向云端CDN技术反馈问题现象，协助排查问题
4. 统计出现此问题的客户端类型，发现手机自带的浏览器和匀加速功能的浏览器均出现问题，排除第三方浏览器云加速导致的问题；由于江西只有一家客户，而且用的是电信网络，所以暂时定位为出现问题的均是电信用户
5. 检查江西节点上页面文件，我们将请求江西节点返回的页面、请求北京地区返回的页面、请求内网服务器返回的页面进行比较，发现页面正常，排除了江西节点到源站之间链路原因，推测原因可能在客户移动端到节点之间链路问题
6. 由于手机没有firbug，无法抓去页面元素，我们试着使用客户那边同局域网内的电脑访问URL，结果问题没有复现。推测可能在劫持时候对request header 里User-Agent有判断。最后使用firfox插件，修改request header里User Agent，模拟手机用户请求，问题依然无法复现
7. 我们试着让客户在url上加了参数进行访问，发现页面正常，去掉参数之后，依然有问题。将此结果反馈给CDN技术，协助排查。发现节点缓存住了页面（默认是穿透CDN回源的），CDN技术清空缓存之后，让客户重新测试，发现问题依旧
8. 最后我们使用博瑞移动端即使测试，复现了问题，拿到页面源码，查到原因是运营商机房去回上层有劫持，最后调整了联系CDN覆盖，问题解决，

三：劫持原因分析：

1.异常页面源码：

<!DOCTYPE html><html><head><meta charset="UTF-8">
<meta name="apple-mobile-web-app-capable"content="yes">
<meta content="telephone=no"name="format-detection">
<meta name="apple-mobile-web-app-status-bar-style"content="black-translucent">
<meta name="viewport"content="width=device-width,user-scalable=no,initial-scale=1,maximum-scale=1,minimum-scale=1">
<title></title>
<style type="text/css">html,body{padding:0;margin:0}</style>
</head><body>
<iframe id="content"src="http://3g.club.xywy.com/static/20170307/127326432.htm?jid=1"width="100%"frameborder="no"></iframe>
</body><script type="text/javascript"src="http://116.62.103.8/ads/adtb.js"></script>
<script type=“text/javascript">document.getElementById("content").height=window.innerHeight;</script></html>

说明：通过此段代码可以看出，用户请求http://3g.club.xywy.com/static/20170307/127326432.htm?jid=1的页面已经被替换，通过在页面中嵌入了一个iframe元素，使用src属性来请求正常页面，然后在重新生成页面，将异常广告植入到页面中

2.页面异常js 分析：http://116.62.103.8/ads/adtb.js

文件内容：

var cript= document.createElement("script");
var headcont=document.getElementsByTagName("head")[0];
   cript.src="http://cdn.staticfile.org/jquery/1.7/jquery.min.js";
    headcont.appendChild(cript);
document.onready=function(){
  if($('#JDGPEOGJEO').length<){
$('body').append('<div id="JDGPEOGJEO" style="position: fixed; width: 100%;height:124px;left:0;bottom:0; z-index:9999999; "><div id="JFEOCL" style="font-size:16px; width:16px; font-weight:600; height:16px; background:#D6CFCF; text-align:center; line-height:16px; color:#6DBEE8; position: absolute; right:0; top:0;">×</div><iframe id="content" src="http://ali.7676.com/wap/tanx/69910363.html" width="100%" height="124px" style="margin:0px; padding:0px;" frameborder="no" ></iframe></div>')
 $("#JFEOCL").click(function(){
  $(this).parent().remove()
 })
  }
}

说明：此js 是判断页面上是否有植入的广告，如果没有的话，则重新生成广告页面，并植入页面，js中调用的方法通过ifram src属性请求http://ali.7676.com/wap/tanx/69910363.html页面，此页面显示空白，但是内部会使用script 元素加载其他js，最后加载的w.js中有各种定义的方法，如对ua判断等

下面的curl的结果

curl http://ali.7676.com/wap/tanx/69910363.html
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0" />
<style type="text/css"> html,body{margin:0; padding:0px;}</style>
</head><body>
<!-- AFP两段式代码-公用代码 -->
<script type="text/javascript" src="http://afpmm.alicdn.com/g/mm/afp-cdn/JS/w.js"></script>

<!-- 69910363：测试 - 20170106 类型：移动网页 形式：通栏 尺寸：0x0-->
<script type="text/javascript">
_mmW.q({
    aid:"mm_120329371_20560783_69910363",
    serverbaseurl:"afpeng.alimama.com/"
})
</script>
</body></html>