大约几个星期前,lucky 因对原来主机提供商的服务质量不满,又将他和他夫人的博客重新搬回了我这里。不久后的一天深夜他打来电话,问我服务器是不是又受到 ARP 欺骗攻击了,每次打开他的主页都会跳出一个 0 * 0 大小的窗口。我赶紧排查了一下,发现服务器和机房都没有问题。
正在左思右想的时候,我回忆起之前我也曾遇见这样的现象,但并不是每打开一个网站就会跳出,其频率大约在一周一次。由于家里的线路是小区 LAN,属于 PPPoE 虚拟拨号的一种,电信分配的是动态 IP。如果长时间连接不断开,电信会每周一次主动断开网络连接,并再次连上,迫使客户端重新申请新的动态 IP。我似乎感觉自己有了头绪,于是马上登录路由器,手动重启路由器并重新获取新的 IP,然后再随便打开一个网址,现象重现了。
这个 0 * 0 大小的窗口,其实际 URL 是:
http://ad.thinkmedia.cn/htracker/pid=1060/media=dx.cn/place=qt/size=320x300
我试着打开 http://ad.thinkmedia.cn,看到页面代码如下:
<html>
<!--
<meta http-equiv="refresh" content="0; URL=http://www.jnjinteractive.com/kr/privacy/privacy.html">
-->
124.42.35.52 - imp1
</html>
于是又访问了一下:
http://www.jnjinteractive.com/cn/index.html
这是一家传媒公司,其业务介绍上居然堂而皇之的写着广告推送业务。看看他们的联系方式:
http://www.jnjinteractive.com/cn/contact/contact.html
这家公司貌似在韩国注册,而这个站点就是他们国内的公司:
http://www.thinkmedia.cn
通过 whois 查询看看两个域名的注册人:
http://whois.hichina.com/cgi-bin/whois?domain=thinkmedia.cn
thinkmedia.cn 的注册人是北京思维美迪亚广告有限公司。
再看 jnjinteractive.com:
http://whois.hichina.com/cgi-bin/whois?domain=jnjinteractive.com
到这里,应该算真相大白了。这只是电信勾结广告商、传媒公司中众多赤裸裸的强奸案例中的一个罢了,我们无从知晓这其中的商业玄机,只是不愿被不明不白的强奸。更何况,这种强奸还披着合法的、合理的外衣。
最后,我想起 CB 上某编辑说的一句话:“众多电信运营商的沉默客户们,请擦亮您的双眼,维护您的合法权益”。