正 文:
最近有网友反应打开网页的时候,会强制出现以t.213164.com开头的弹窗,怎么也屏蔽不了,电脑本身和目标网站都没有中毒,但是却会不时地出现交友、聊天室、游戏等的弹窗,令人不胜烦恼。
弹窗现象一:
打开网页,点一个链接就弹出广告,有游戏的有淘宝的。打开很多网页都是这样(百度、新浪这样的没事)。杀毒杀不出来,重装一次系统还有。还有在家里正常,在公司里面就广告。奇怪。弹出的前面都有
http://t.213164.com/prc.php。
比如弹窗网址为:
http://t.213164.com/prc.php?r=aWQ9MGDklBaiQfgTQ1NzU5JmV0ZXRvcHU9aHR0cCUzQSUyRiUyRmxvY2FsaG9zdCUyRmNsb3RoaW5nJTJGdHNoaXJ0LnNodG1sJmZyb210aW1lPTEzNzM5NDAzNzUmc2VjcmV0PTc3NmU5NDcyODQ4YTVhMzZiOGNjM2NmNDlkMTIwMTc5MWUx&etereferer=http%3A//localhost/Fabric/Jersey.shtml&fsh=1&cok=1&acq=0&screen=1920_1080这个网址的源码内容为:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=GB18030"/><script language="javascript">function redirect(){location.href="http://t.bdh999.com/ytlm2.php?id=65&uid=48997&ext=NDQz3NSwxMjUyMyxkdW9sdW90cyw3MzA4OSw0ODk5Nyw0ODk5NywxMzc0MDcwMDQ3track";}redirect();</script><title>非法打开</title></head><body onload="redirect()"></body></html>
注意:上面蓝色的网址不是固定不变的,而是随机变化的。如:
http://1.qq.com/zx/?union=10088_104_1
http://eettr.r.haizhangs.com/eettr.htm?ext=NDMzzMywxMjI5OSxkdW9sdW90cyw3MzA4OSw0ODk5Nyw0ODk5NywxMzc0MDcwNjYztrack
http://www.9see.com/go2?from=104_yt48997&ext=MjQz2Nyw5NzUzLGR1b2x1b3RzLDczMDg5LDQ4OTk3LDQ4OTk3LDEzNzQwNzA2NzM=track
http://tetwo.r.haizhangs.com/tetwo.htm?ext=NDMzzNSwxMjMwMSxkdW9sdW90cyw3MzA4OSw0ODk5Nyw0ODk5NywxMzc0MDcwNjkxtrack
弹窗现象二:
打开一个新页面 他就会加载上去 ,无论鼠标在哪里 都是点击链接状态(鼠标变小手指) ,通常是点击2次后 可以正常浏览。我最早发现是打开某个网站时发现的 开始我以为是这个网站有问题,后来发现,我开其他的 也时不时的会弹出。而且,百度贴吧里面的图片我都无法显示。这个是我的截图 ,左下角有那个广告URL地址:
故障表现:如果你查看被劫持的网页源代码,会发现在</body>结束标签之前出现一个A链接标签,如下:
<a href="http://t.213164.com/prc.php?r=aWQ9MjNeiPEGzfBTQ1NzU5JmV0ZXRvcHU9aHR0cCUzQSUyRiUyRnd3dy5lbmpveWRpeS5jb20lMkYmZnJvbXRpbWU9MTM3Mzc4NTM1MyZzZWNyZXQ9NjMyNDVkM2VlMGUyOWQzOGM5N2ZlMmUxZTUzN2RlNTc0NmU=&etereferer=&fsh=1&cok=1&acq=0&screen=1366_768" id="__lgUnion_a__100" target="_blank" style="position: absolute; z-index: 2147483647; background-color: rgb(255, 255, 255); opacity: 0.01; display: block; top: 0px; left: 0px; width: 1349px; height: 634px;"></a>
如下图:
看这个链接里面的style样式,就不难理解为什么会出现上诉两个现象了。这个样式设置了一个透明的层,覆盖整个网页区域,无论你点击网页的哪个部分,都会先点击这个链接。
弹窗t.213164.com故障排查:
首先利用远程访问该名网友的电脑,排除电脑本身中毒和这些网站中毒的情况外,只能是本地DNS出现了问题。先检查本台电脑的dns服务器,输入命令:ipconfig /all,发现这台电脑的dns为从路由器自动获取(dhcp自动分配),dns ip为:
106.186.27.253 和 114.114.114.114
查询这2个ip:
106.186.27.253 为日本的IP;
114.114.114.114 为江苏省南京市信风网络科技有限公司 公众DNS服务器。
问题就出在了这里! 很明显,这2个DNS劫持了用户网站的访问,在访问特定网址(比如包含有CNZZ站长统计代码的网站)的时候,先跳转到t.213164.com的中间页面,然后才会访问用户的目标网站。
我们来ping s36.cnzz.com 看下结果:
果然,得到的ip竟然是 199.119.143.236 这样一个美国的IP,而正确的s36.cnzz.com的ip地址应该为 42.121.103.235 阿里巴巴公司的IP。到此,可以确认,是DNS劫持了网站访问。
用户的dns为路由器自动获取到的,这不得不怀疑是电信运营商动了手脚,因为这些dns 的ip是运营商自动分配的,运营商不好好的分配正确的dns,却分配了一个不知名公司的dns,其目的显而易见,出了问题时,可以推卸责任,说dns不是我们公司的,是用户自己设置错误。想想今年的3.15晚会报道的运营商垃圾短信的内幕,大家可以想想这里面的利润有多丰厚,才让运营商昧着良心干这缺德事。
屏蔽弹窗t.213164.com的解决方法:修改电脑的DNS 我们已经知道是DNS搞鬼了,那么可以把我们的电脑DNS改成其他正规公司的DNS即可。
网络连接——本地链接——右键属性——双击internet 协议——选择使用下面的DNS服务器地址——首选DNS服务器设置为208.67.220.220,备用DNS服务器设置为208.67.222.222即可!
我推荐大家使用OpenDNS提供的DNS服务器,OpenDNS是一个提供免费DNS服务的网站,口号是更安全、更快速、更智能。IP为:
208.67.222.222 和 208.67.220.220 Google公司的DNS,大家也可以尝试使用:
8.8.8.8 和 8.8.4.4 但是貌似Google公司的dns会间歇式不可访问,因此会影响大家网络的稳定性。
另外,大家也可以使用当地的运营商自己的dns,比如你是北京地区,那么建议你使用北京联通的dns,每个地区的dns大家都可以网上查询到。
提到同样问题的相关网页:
1、中国移动宽带恶意插播广告代码
http://www.enjoydiy.com/1849.html
