部分地区运营商开始在光猫内置反诈插件
据悉,V2EX用户oblivion同事参加了某运营商加 1 元提速 2000m 送 fttr 1+2 活动后,偶然打开了 xenyth.net 这家 vps 官网下单买来玩,没想到直接跳转到了反诈页面,在关闭网页后不到 3 分钟,当地反诈热线就打来电话,询问是否访问一个叫做 xenyth.net 的诈骗网站,并提到这是一个网购诈骗网站,付款后不会发货,要求不再访问,如有需要可以安排民警上门。
中午打开 cloudflare ,是 rst ,解析的地址是 127.0.0.1 ,更换 dns 仍然如此,午饭时某反诈又打来电话,询问有没有访问诈骗网站。
经过排查,唯一有变动的就是升级 fttr 更换光猫了,在使用普通的 hn8145v 测试,拿到 loid 用普通光猫注册后,cloudflare 可以打开,而 xenyth.net 仍然跳转到反诈页面。
晚上 8 点,测试普通光猫可以打开 cloudflare ,更换 fttr 光猫后,依仍然是 rst ,测试 443 端口 tcpping 只有 0.8ms ,随后反诈电话又打来。
至此,确定是fttr 光猫有问题。
解决方案:
电信定制:
第一步开 telnet 访问 shell ,具体按照自己型号搜索
执行 saf 或 saf-huawei 进入插件容器,密码 upt
在容器内执行 /sbin/ctc-app.sh List 查看已下发的插件列表
执行 /sbin/ctc-app.sh Uninstall 上一步看到的插件名称进行卸载
防止卸载后重新下发死灰复燃,记得删除/etc/rc.d 中的 cloudclt 等启动项
移动定制:
插件名称 com.chinamobile.smartgateway.cmccdpi
参考 https://akbwe.com/posts/f7607p_java/
联通定制:
主进程 CUInform ,拉起的插件均有保活机制,暂时没有找到关闭方法
临时措施:
目前的临时措施:
二级路由屏蔽全部出向 53 端口流量,改由 DNSPod DoH 统一出口,
二级路由屏蔽所有反诈页面,防止客户端跳转展示,目前卸载插件配合以上两条可正常访问 cloudflare ,暂未触发反诈提示电话
精准打击原理:
至于反诈电话怎么准确联系到你,运营商服务商提到,三家运营商都对外提供使用 ip+端口+时间三要素查询所属用户实名信息使用人信息联系人号码的接口,对于早期办理宽带也没有变更套餐的用户,其联系人号码默认空或等同宽带账号,是无法发起呼叫的。
原文始发于微信公众号(小明今天拿站了吗):部分地区运营商开始在光猫内置反诈插件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论