【特定环境】

河南、山西、浙江用户，以及使用了cnzz统计代码的站点、页面等。

【问题现象】

这几天接到了来诸多平台的用户求救，反馈客户机开机弹出黄色网站、打完游戏后又弹出一个、甚至点击剑灵里的充值页面也会弹出。相关域名：http://bvedu.com.cn:52011、http://vsvs.mobi:52011  、http://alitaoba.com

【问题原因】

cnzz统计代码被恶意插入js弹窗后导致

【分析过程】

找到打开网页时候就弹黄色网站的页面，看下资源加载情况

正常网络下的页面请求资源

弹出黄色网站时候的httpanalyer抓包，发现是http://entry.hamengjie.com:10000，重定向到 http://alitaoba.com域名

aobei123.com域名重定向到http://bvedu.com.cn:52011


分析网页加载资源的时候确认发现由cnzz加载的entry.hamengjie.com域名


核心的js由于被混淆了所以没分析出来，不过分析到这里时候已经很清晰了，本来在第一时间联系cnzz准备查看时候，在其论坛发现了一则公告


bbs.umeng.com/thread-26444-1-1.html

看来这件事他们已经知道了，那知道了为何没有及时邮件通知站长更换https的统计代码？这里就不得而知了。

【解决办法】

如果是站长则尽快更换成其他统计，这里推荐百度统计。或者直接用hosts把c.cnzz.com以及w.cnzz.com进行屏蔽即可。

以下以批处理为例

cd /d C:\Windows\System32\drivers\etc

echo 127.0.0.1 c.cnzz.com>>hosts

echo 127.0.0.1 w.cnzz.com>>hosts

以上转自顺网小哥

【特定环境】

河南、山西、浙江用户，以及使用了cnzz统计代码的站点、页面等。

【问题现象】

这几天接到了来诸多平台的用户求救，反馈客户机开机弹出黄色网站、打完游戏后又弹出一个、甚至点击剑灵里的充值页面也会弹出。相关域名：http://bvedu.com.cn:52011、http://vsvs.mobi:52011  、http://alitaoba.com

【问题原因】

cnzz统计代码被恶意插入js弹窗后导致

【分析过程】

找到打开网页时候就弹黄色网站的页面，看下资源加载情况

正常网络下的页面请求资源

弹出黄色网站时候的httpanalyer抓包，发现是http://entry.hamengjie.com:10000，重定向到 http://alitaoba.com域名

aobei123.com域名重定向到http://bvedu.com.cn:52011


分析网页加载资源的时候确认发现由cnzz加载的entry.hamengjie.com域名


核心的js由于被混淆了所以没分析出来，不过分析到这里时候已经很清晰了，本来在第一时间联系cnzz准备查看时候，在其论坛发现了一则公告


bbs.umeng.com/thread-26444-1-1.html

看来这件事他们已经知道了，那知道了为何没有及时邮件通知站长更换https的统计代码？这里就不得而知了。

【解决办法】

如果是站长则尽快更换成其他统计，这里推荐百度统计。或者直接用hosts把c.cnzz.com以及w.cnzz.com进行屏蔽即可。

以下以批处理为例

cd /d C:\Windows\System32\drivers\etc

echo 127.0.0.1 c.cnzz.com>>hosts

echo 127.0.0.1 w.cnzz.com>>hosts

以上转自顺网小哥