FireFox浏览器神操作跳到BC站,被Hacker盯上了?

今天在使用firefox(https://www.mozilla.org/zh-CN/firefox/new/)时,出现一个非常非常奇怪的问题,貌似Firefox是被人黑(hack)了。

首先,我的Firefox是在官网https://www.mozilla.org下载的国际版,没有垃圾插件广告之类的问题,平时也很少用到。

在Firefox浏览器的地址栏下面会不时出现一个浏览器级别的提示,下图红框中的内容:

浏览器级别入口提示框

所有网页顶部会不定期出现这个弹窗,而且会不时的自己消失掉,又不时会自己出现。

提示语“你必须先登录此网络才能访问互联网”,按钮“打开网络登陆页面”,非常的蹊跷,莫名会让人产生一种需要登录才能上网的错觉,加上这个提示看上去并不像网页上的弹窗提示,而像是浏览器上的。

这就有意思了,更有意思是当你点击右边那个按钮后:先是打开网址detectportal.firefox.com/success.txt,然后马上跳转到这个https://www.dyh*qw.com/网站,页面上出现下图这样一个鲜红的公告,几秒后又跳到一个BC网站https://la*bv.com/并停留下来了。

BC公告

鲜红的公告

查看detectportal.firefox.com/success.txt返回的内容,发现它就是上面那个公告,虽然我不知道那个浏览器级别的入口提示是如何利用这个文件做到的(我知道了,原因在下面),Firefox官方域名下的这个文件是被篡改了,导致了后面一系列的跳转到BC站。

显然,Firefox被人黑了,实际上并没有,而是网络被劫持了,这个文件的请求被重定向了。

查明原因

经过一番查证,原来Firefox会默认发送请求到detectportal.firefox.com/success.txt,这个文件正常情况下应该返回一个success字符串。

通过这个请求,FireFox可以判断当前网络是否是处于强制门户中(需要登录才能上外网,未登录会跳转到一个指定网页,一般就是获取授权页面),这种网络在很多公共场所有用到,比如游乐场,机场之类的,会有免费wifi,但是需要你注册登录一下才能上外网,FireFox就是通过请求自己服务器上的那个文件来检测的。

而FireFox请求的这个文件被(电信)网络劫持,重定向到恶意代码(红色公告)上了。这么说的理由是因为如果你挂上全局代理去访问这个文件,可以正常返回那个success,自然也就不会出现提示框。而关掉代理,就会出现我前面那种跳转。

当Firefox的请求没有拿到返回的success字符串,FireFox会认为当前网络是强制门户,这时候就出现了顶部那个浏览器级别的提示框,而当你点击后面的按钮,Firefox就会打开它认为应该展示的强制门户获取授权页面(也就是那个公告)。

解决

网络是武汉市中国电信,尝试更换114,dnspod以及google的8.8.8.8的DNS没有解决。

按照下面的操作关掉Firefox的配置项network.captive-portal-service即可。

  1. 在Firefox的地址栏输入about:config,点接受风险进入配置。
  2. 搜索network.captive-portal-service.enadbled并将其设置为false即可。

不得不说,这是一种非常隐蔽的劫持,只有当你使用Firefox才会出现,区别于简单粗暴的弹窗,这种情况会让人感到非常困惑。

FireFox浏览器神操作跳到BC站,被Hacker盯上了?

原文链接:https://beltxman.com/3066.html,若无特殊说明本站内容为 行星带 原创,未经同意禁止转载。

FireFox浏览器神操作跳到BC站,被Hacker盯上了?”上有 16 条评论;

  1. 我是安装了一个插件方便自己用的
    SwitchyOmega
    切换到自动模式和主机代理模式都没问题,就是切换关闭代理模式会出现这个提示.

  2. 结论下的有点武断。肯定是被劫持了,但不一定是运营商,整个通路上都有可能。我关闭后再打开就好了。怀疑,也有可能是缓存上被劫持了。因为,用另一个全绿色版的,先就没出现,后来才出现的。期间好像,不同的操作就是一个用了代理,一个没有。

    1. 这只是我的推断,路由上任意一级网关被劫持都会出现是这个情况,至于是哪一级,无法深究,可能是运营商,也可能是DNS等等

      1. 现在,我搞不清楚是哪种情况了。人人影视字幕组也被这个劫持了,换了域名。FireFox只要不是先前Profiles文件夹,都会出现,反倒是原来不会出现。

          1. 嗯,挂全局就没有了。现在,又怪了,时有时无的。

    2. 就是电信的事,我换联通的网络就没有。

    1. network.captive-portal-service.enadbled的配置改成false了,文章末尾有提到,我这样设置后重新启动一下Firefox就没有再出现那个弹出登录提示了。

      1. 我重启电脑后在是没了,我开始以为是我的bing主页被劫持了,这几天出现的这个条确实很烦人的。。。不是搜索到了这个,我还那它没办法。。。

        1. 非常有心机的一次劫持,估计还会持续很久,毕竟电信的劫持太多了

  3. 我今天也发现了,同为武汉电信网络。

    1. 对武汉电信是真的是没什么好感,各种莫名其妙的被劫持,这不是第一次。

评论已关闭。

Scroll to top