V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Knights
V2EX  ›  Apple

macbook 中木马了,访问京东、淘宝链接后面都带推广 id 了

  •  
  •   Knights · 2015-05-13 22:44:13 +08:00 · 7390 次点击
    这是一个创建于 3515 天前的主题,其中的信息可能已经有所发展或是发生改变。

    作死,下了某个软件,然后发现访问京东各种跳转。
    wireshark抓了下包,只是看到跳转的链接了,好像并没有什么用。。。
    mac上的进程好多啊,怎么找出木马进程呢?求高手指点。
    或者大家推荐一下mac下的杀毒软件。

    第 1 条附言  ·  2015-05-13 23:18:30 +08:00
    随便访问淘宝的一个页面是这样的:http://item.taobao.com/item.htm?spm=a217h.7274645.1998424065.2.Pg4Aq3&id=43490274472
    京东就是跳转几次,跳转链接:http://click.linktech.cn/?m=360buy&a=A100197347&l=99999&l_cd1=0&l_cd2=1&u_id=night_test&tu=http://item.jd.com/1378538.html
    http://daoquick.com/jd.php?a=A100197347&tag=night_test&tu=http://item.jd.com/1378538.html
    第 2 条附言  ·  2015-05-14 09:37:04 +08:00
    今天连了对面寝室的网试试,发现跳转消失了。难道是路由器被黑了?可是寝室四个人就我一个人跳转。
    第 3 条附言  ·  2015-05-14 09:54:33 +08:00
    把路由恢复出厂了,然后不跳了。感觉很神奇...
    42 条回复    2015-05-17 21:24:54 +08:00
    mongodb
        1
    mongodb  
       2015-05-13 22:47:39 +08:00
    请上软件名字,我好远离。。
    Knights
        2
    Knights  
    OP
       2015-05-13 22:51:51 +08:00 via iPhone
    @mongodb PS CS6...
    l0wkey
        3
    l0wkey  
       2015-05-13 22:52:59 +08:00 via iPhone
    其实很有可能是运营商
    Knights
        4
    Knights  
    OP
       2015-05-13 22:54:44 +08:00 via iPhone
    同寝室的人没事
    wc0517
        5
    wc0517  
       2015-05-13 22:55:57 +08:00
    OS X 还是 Windows?我怎么看都觉得不会是 OS X 能出的事。
    Knights
        6
    Knights  
    OP
       2015-05-13 22:56:39 +08:00 via iPhone
    @wc0517 OSX10.10
    Knights
        7
    Knights  
    OP
       2015-05-13 22:58:50 +08:00 via iPhone
    @l0wkey 挂上SS访问淘宝也一样有推广id
    banri
        8
    banri  
       2015-05-13 23:00:22 +08:00
    盗版。。。
    Hawk
        9
    Hawk  
       2015-05-13 23:05:02 +08:00
    你是不是浏览器用了什么userscript
    hjc4869
        10
    hjc4869  
       2015-05-13 23:05:37 +08:00
    @wc0517 OS X恶意软件一大堆。。。
    wc0517
        11
    wc0517  
       2015-05-13 23:07:08 +08:00
    @hjc4869 我没碰到过
    xuc
        12
    xuc  
       2015-05-13 23:12:19 +08:00
    前两天发现京东会带尾巴,换 DNS 就 OK 了,福建电信。
    杀毒软件的话看 http://www.av-test.org/en/news/news-single-view/mac-os-x-under-attack-10-security-packages-put-to-the-test/,我用的小红伞。
    ynyounuo
        13
    ynyounuo  
       2015-05-13 23:12:27 +08:00
    提供的信息太少了;
    1. 什么软件,是否是官网下载,如果不是,从哪里下的?
    2. 推广 ID 是什么?
    3. 随机访问一个淘宝或者京东页面,console 内容贴出来。
    Knights
        14
    Knights  
    OP
       2015-05-13 23:15:24 +08:00
    @Hawk 不懂。。。,就是将PS的framework文件用别人的破解替换了一下
    xcv58
        15
    xcv58  
       2015-05-13 23:17:54 +08:00
    换个浏览器试试。
    Knights
        17
    Knights  
    OP
       2015-05-13 23:36:25 +08:00
    @xuc 我看看
    hjc4869
        18
    hjc4869  
       2015-05-13 23:41:42 +08:00
    @wc0517 我用windows还没碰到过恶意软件呢。。一个人没碰到能说明一切吗
    ynyounuo
        19
    ynyounuo  
       2015-05-13 23:42:05 +08:00
    @Knights
    看了,问题不在这里。
    还有就是,给盗版付费,也是够拼的。
    des
        20
    des  
       2015-05-13 23:44:54 +08:00
    @hjc4869 我也是,主要看习惯吧

    我还主动收藏了病毒233 比如最近的比特币敲诈病毒
    Knights
        21
    Knights  
    OP
       2015-05-13 23:55:13 +08:00
    wc0517
        22
    wc0517  
       2015-05-14 00:04:38 +08:00 via iPhone
    @hjc4869 windows恶意软件一大堆
    hjc4869
        23
    hjc4869  
       2015-05-14 01:16:38 +08:00
    @wc0517 本来就是。。
    shawnhill
        24
    shawnhill  
       2015-05-14 01:22:33 +08:00
    我前几天mac也中恶意程序了,主页被篡改,偶尔弹mackeeper广告页,下了AdwareMedic顺利修复。
    toduse
        25
    toduse  
       2015-05-14 01:28:42 +08:00 via Android
    我是访问百度有推广id
    blessme
        26
    blessme  
       2015-05-14 02:16:34 +08:00
    淘宝那个链接是正常的,京东的不正常。
    shendancan
        27
    shendancan  
       2015-05-14 06:49:41 +08:00
    劫持啊,很正常
    Youen
        28
    Youen  
       2015-05-14 09:26:52 +08:00
    有些chrome插件会在页面插入推广脚本
    acthtml
        29
    acthtml  
       2015-05-14 09:28:05 +08:00
    电信劫持。
    fork3rt
        30
    fork3rt  
       2015-05-14 09:36:37 +08:00
    查看下Chrome插件
    Knights
        31
    Knights  
    OP
       2015-05-14 09:45:35 +08:00
    @Youen
    @fork3rt 用的safari
    chrome用的扩展:adblock plus、Chrono下载管理器、Proxy SwitchyOmega
    clino
        32
    clino  
       2015-05-14 09:49:46 +08:00
    你用 SwitchyOmega 用 shadowsocks 访问看看,如果还是如此才是本地恶意软件的问题
    因为运营商没办法劫持 shadowsocks 里的访问,如果ss访问正常那么就是运营商劫持了
    haython
        33
    haython  
       2015-05-14 09:50:40 +08:00
    你跳转的那个是广告联盟的链接,你可以拿这个这链接去对应的联盟举报
    OscarUsingChen
        34
    OscarUsingChen  
       2015-05-14 10:30:38 +08:00
    估计你的路由器因为弱口令被修改了DNS
    同寝室的人没事因为他们自己设置了DNS服务器地址(比如114之类的),而不是用DHCP下发的DNS地址。
    Yannis1990
        35
    Yannis1990  
       2015-05-14 10:36:34 +08:00
    运营商劫持吧

    我在家也是,但是在公司正常。
    Knights
        36
    Knights  
    OP
       2015-05-14 10:38:21 +08:00
    @OscarUsingChen 我设的223.5.5.5 和8.8.4.4
    oldj
        37
    oldj  
       2015-05-14 10:43:00 +08:00
    其实淘宝链接里的spm参数不是推广ID,是淘宝官方加的,用来统计页面上各个链接被点了多少次。
    monsabre1
        38
    monsabre1  
       2015-05-14 19:42:50 +08:00
    用comodo或者avira清理下

    以后上网用chrome吧 chrome是沙箱耗内存 但是防木马100%
    Zirconi
        39
    Zirconi  
       2015-05-16 18:20:39 +08:00
    京东商品页全部跳到daoquick.com,然后跳回首页。
    似乎是223.5.5.5阿里DNS的问题,换了114DNS正常。
    Zirconi
        40
    Zirconi  
       2015-05-16 22:10:57 +08:00
    Zirconi
        41
    Zirconi  
       2015-05-16 22:12:21 +08:00   ❤️ 1
    @Zirconi 通过跟踪路由。基本可以确定是因为阿里DNS解析的京东CDN IP走了联通带劫持的路由,114的没有。联通似乎没有在所有路由上部署劫持。
    stanhou
        42
    stanhou  
       2015-05-17 21:24:54 +08:00
    这个100%就是运营商劫持的,我就遇到过。你说同寝室没事是因为同IP他一般只第一次出现跳转。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5426 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 08:01 · PVG 16:01 · LAX 00:01 · JFK 03:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.