部分地区运营商开始在光猫内置反诈插件

admin 2023年11月1日20:09:55评论1,018 views字数 1030阅读3分26秒阅读模式
部分地区运营商开始在光猫内置反诈插件

部分地区运营商开始在光猫内置反诈插件


据悉,V2EX用户oblivion同事参加了某运营商加 1 元提速 2000m 送 fttr 1+2 活动后,偶然打开了 xenyth.net 这家 vps 官网下单买来玩,没想到直接跳转到了反诈页面,在关闭网页后不到 3 分钟,当地反诈热线就打来电话,询问是否访问一个叫做 xenyth.net 的诈骗网站,并提到这是一个网购诈骗网站,付款后不会发货,要求不再访问,如有需要可以安排民警上门。


中午打开 cloudflare ,是 rst ,解析的地址是 127.0.0.1 ,更换 dns 仍然如此,午饭时某反诈又打来电话,询问有没有访问诈骗网站。


经过排查,唯一有变动的就是升级 fttr 更换光猫了,在使用普通的 hn8145v 测试,拿到 loid 用普通光猫注册后,cloudflare 可以打开,而 xenyth.net 仍然跳转到反诈页面。


晚上 8 点,测试普通光猫可以打开 cloudflare ,更换 fttr 光猫后,依仍然是 rst ,测试 443 端口 tcpping 只有 0.8ms ,随后反诈电话又打来。


至此,确定是fttr 光猫有问题。


解决方案:


电信定制:

第一步开 telnet 访问 shell ,具体按照自己型号搜索

执行 saf 或 saf-huawei 进入插件容器,密码 upt

在容器内执行 /sbin/ctc-app.sh List 查看已下发的插件列表

执行 /sbin/ctc-app.sh Uninstall 上一步看到的插件名称进行卸载

防止卸载后重新下发死灰复燃,记得删除/etc/rc.d 中的 cloudclt 等启动项


移动定制:

插件名称 com.chinamobile.smartgateway.cmccdpi

参考 https://akbwe.com/posts/f7607p_java/


联通定制:

主进程 CUInform ,拉起的插件均有保活机制,暂时没有找到关闭方法


临时措施:


目前的临时措施:

二级路由屏蔽全部出向 53 端口流量,改由 DNSPod DoH 统一出口,

二级路由屏蔽所有反诈页面,防止客户端跳转展示,目前卸载插件配合以上两条可正常访问 cloudflare ,暂未触发反诈提示电话


精准打击原理:


至于反诈电话怎么准确联系到你,运营商服务商提到,三家运营商都对外提供使用 ip+端口+时间三要素查询所属用户实名信息使用人信息联系人号码的接口,对于早期办理宽带也没有变更套餐的用户,其联系人号码默认空或等同宽带账号,是无法发起呼叫的。

原文始发于微信公众号(小明今天拿站了吗):部分地区运营商开始在光猫内置反诈插件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月1日20:09:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   部分地区运营商开始在光猫内置反诈插件https://cn-sec.com/archives/2166456.html

发表评论

匿名网友 填写信息