http://jackxiang.com/index.php zh-cn http://jackxiang.com/post/5846/ jack <xdy108@126.com> Wed, 12 Dec 2012 13:35:42 +0000 http://jackxiang.com/post/5846/
<html> <head>...</head> <iframe id="userSrc" name="userSrc" src="" width="100%" height="100%" marginheight="0" marginwidth="0" frameborder="0"></iframe> <script language="javascript" type="text/javascript">var fra = frames['userSrc'];var url = 'http://www.jackxiang.com/';if(url)fra.location = url;</script> <script type="text/javascript" language="javascript" src="http://sc.istreamsche.com/push.js?spid=0200000000&amp;uid=02000a00df0fca1c434f8e58fe106f6048b47888&amp;i=457506815"></script> <script type="text/javascript">var _GEO_Str = {spid : "0200000000",uc : "AippRt2VAKvejV280ZbvE9K223E7b33f",uid : "df0fca1c434f8e58fe106f6048b47888",t : "0000010",st : "1",mid : "1",aid : "104-46",amid : "104-46-45*2",opid : "02",zid : "0010",oid : "54",eid : "104"};</script> <script language="javascript" type="text/javascript" src="http://ad.istreamsche.com/104/46/45/2/m.js"></script> <div id="_GEOMEDIA" style="position: absolute; z-index: 100; bottom: 0px; right: 21px; display: block; width: 300px; height: 270px; background-color: transparent; "><div id="_GEOMEDIAINNER" style="display: block; width: 300px; height: 270px; background-color: transparent; "><object id="_GEOMEDIACOMCN" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,29,0" width="300" height="270"> <param name="movie" value="http://ad.istreamsche.com/104/46/45/2/frame.swf?random=0.9105803512502462"><param name="quality" value="high"> <param name="wmode" value="transparent"> <param name="menu" value="false"> <param name="allowfullscreen" value="false"> <param name="allowscriptaccess" value="always"> <embed name="_GEOMEDIACOMCN" src="http://ad.istreamsche.com/104/46/45/2/frame.swf?random=0.9105803512502462" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="300" height="270" wmode="transparent" allowfullscreen="false" allowscriptaccess="always"> </object> </div><iframe width="0" height="0" id="_GEOMEDIA0.004417184041813016" style="display: none; " src="http://ad.istreamsche.com/104/46/45/2/media.htm?random=0.3894225328695029"></iframe><iframe width="0" height="0" id="_GEOMEDIA0.004417184041813016" style="display: none; " src="http://sc.istreamsche.com/s?spid=0200000000&amp;uc=AippRt2VAKvejV280ZbvE9K223E7b33f&amp;uid=df0fca1c434f8e58fe106f6048b47888&amp;t=0000010&amp;st=1&amp;mid=1&amp;aid=104-46&amp;amid=104-46-45*2&amp;opid=02&amp;zid=0010&amp;oid=54&amp;eid=104"></iframe></div> </body> </html>

可以看到，你从浏览器上看到的还是你的网页，只不过被iframe进去了，此时被加上一段JS的广告程序。这个时候再点其他栏目，网址是不会变的，因为是在框架内点的啊。
联系机房，机房说不可能，开始怀疑有同一网段的ARP攻击。64位系统，装不了普通的ARP软件，想到换交换机，从普通交换机换到了主核心交换机，弄了一天，还是有劫持。实在没办法了，跪求解决方案。程序是自己写的，编译运行的，是改不了程序的。

而且是在上层劫持的。机房说没有解决办法了，说是服务器的问题。
我的分析：
1.在服务器的Apache上做了扩展，在输出时偶给来一下。
2.dns运营商在那一瞬间做了IP的改动，嵌入了Iframe。【这点不太可能】
3.在Apache输出后在路过时给人把包劫持了，加入了广告，用Iframe方式。【极有可能】
略查了下：ad.istreamsche.com - 180.186.27.7 的地理位置是 北京市 时代互联......
估计是长城宽带的劫持，在中间对流做了改动并给插入了代码。

有兄弟在问怎么知道是在哪儿劫持的，目前还没有这样的手段查到：
http://www.newsmth.net/nForum/#!article/ITExpress/1292497

原理很简单这位兄弟说得很到位，无非是利益的驱动：
http://www.cnblogs.com/cyq1162/archive/2012/11/26/2789424.html

从技术上实现对Iframe进行隐藏，这是不是一种妥协呢，还是技术对抗技术哩Add ：2013 - 05 - 04
http://dbanotes.net/security/iframekiller_anti_iframe_clicjacking.html ]]> http://jackxiang.com/post/5846/#blogcomment63822 hooyes <me@hooyes.com> Wed, 12 Dec 2012 16:16:30 +0000 http://jackxiang.com/post/5846/#blogcomment63822 http://jackxiang.com/post/5846/#blogcomment63823 root <admin@yourname.com> Sat, 15 Dec 2012 06:00:37 +0000 http://jackxiang.com/post/5846/#blogcomment63823