不知什麼起,用手機端浏覽部落格園的頻率變多了。
也不知什麼時候,浏覽就成了這個樣子,滿屏是廣告:
手機端就那麼點空間,三分之二都是廣告,我靠!!!!!
于是,不斷追尋着真相!!!
細心的網友發現,我把打賞插件去了,而是直接換成了在下面的兩張圖檔。
在發現廣告之初,我的思維是這樣的:
1
2
3
4
5
<code>a:我發現其它人的部落格基本沒有廣告。</code>
<code>b:隻有我的部落格有廣告。</code>
<code>c:電腦沒有,隻有手機端出現。</code>
是以,我懷疑我的部落格連結的第3方的網址引發的。
于是,我徹查了一下,發現引入了第三方打賞插件的js。
神奇的是,當我把js删除,儲存後,廣告竟然就消失了!!!
是以,我有點火了,一個開源的js,竟然偷偷摸摸插廣告?
一度我想寫文噴這種行為!
不過要寫文,就要拿證據,因為,我必須拿到源代碼,而且有截圖!
于是,我建立了個demo頁,引入js,在手機端浏覽,期待它出來廣告之時,竟然木有????
咋了,竟然出乎我的預期?
于是,我進一步在園子裡找,其它引用該插件人的部落格。
用手機端浏覽,發現,對方的部落格竟然也沒有彈!!!
既然廣告不彈了,就不管了,我也不再引入該js,換成圖檔了!!!
才過沒1-2天,廣告又襲來了,而且變本加厲,從原來的1/3屏,到現在的2/3屏。
是以,既然不是第三方插件,很有理由,相信網絡的劫持!
而且,劫持手機端,我還無可奈何,因為電腦端還能寫個軟體或改host屏蔽,手機端。。。唉!
忍了!!!!後來在閃存給dudu @了一個,希望它從源頭處理。
dudu的回報是這樣的:
但是昨晚的一件事,讓我懷疑這事并不簡單。
我在另一個地區的地方通路時(其它電信網絡),同樣出現了廣告,而且是一模一樣的廣告。
我覺的營運商就算彈廣告,也是各自為政,分散小團體搞,不可能在一個市的層面上搞。
但是也沒有辦法去證明。
說二度,就是在懷疑打賞插件時,我部落格也就隻剩下引入cnzz插件了。
就在剛剛,1點多的時候,發現睡不着,手機浏覽一下,又是滿屏的廣告,火大了!!!!!
瑪尼,三更半夜又咋的,躺床上又咋的,起床開電腦,一定要徹查!!!!
打開fiddler來追蹤,結果發現攔截不到(大概fiddler監聽的是127.0.0.1,沒細想)
于是打開了秋式廣告殺的項目:
雖然它現在已經退休,沒怎麼維護了,但它目前最好的效用就是用來攔截調試手機端的請求。
運作軟體,懷念一下:
預設監聽着8888端口,debug模式下,會輸出所有請求的網址:
接着把手機端的代理設定上:
然後在手機浏覽自己的部落格,接着看輸出的視窗資訊:
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_64\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“f:\code\開源代碼\adkiller\adkiller\bin\debug\秋式廣告殺手.exe”,符号已加載。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\system\2.0.0.0__b77a5c561934e089\system.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\system.windows.forms\2.0.0.0__b77a5c561934e089\system.windows.forms.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\system.drawing\2.0.0.0__b03f5f7f11d50a3a\system.drawing.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_64\system.web\2.0.0.0__b03f5f7f11d50a3a\system.web.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\system.configuration\2.0.0.0__b03f5f7f11d50a3a\system.configuration.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\system.xml\2.0.0.0__b77a5c561934e089\system.xml.dll”,已跳過符号加載。已對子產品進行了優化并啟用了調試器選項“僅我的代碼”。</code>
<code>在 system.net.sockets.socketexception 中第一次偶然出現的“system.dll”類型的異常</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\mscorlib.resources\2.0.0.0_zh-chs_b77a5c561934e089\mscorlib.resources.dll”,未加載符号。</code>
<code>“秋式廣告殺手.exe”(托管): 已加載“c:\windows\assembly\gac_msil\system.resources\2.0.0.0_zh-chs_b77a5c561934e089\system.resources.dll”,未加載符号。</code>
<code>在 system.argumentexception 中第一次偶然出現的“mscorlib.dll”類型的異常</code>
<code>線程 0x1adc 已退出,傳回值為 0 (0x0)。</code>
<code>99,100</code>
<code>線程 0x1188 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:37:28 : http:</code><code>//www.cnblogs.com/cyq1162/</code>
<code>98,100</code>
<code>2016/11/24 1:37:28 : http:</code><code>//www.cnblogs.com/cyq1162/mvc/blog/sidecolumn.aspx?blogapp=cyq1162</code>
<code>97,100</code>
<code>96,100</code>
<code>2016/11/24 1:37:28 : http:</code><code>//www.cnblogs.com/mvc/blog/getblogsideblocks.aspx?blogapp=cyq1162&showflag=showrecentcomment,showtopviewposts,showtopfeedbackposts,showtopdiggposts</code>
<code>95,100</code>
<code>2016/11/24 1:37:28 : http:</code><code>//common.cnblogs.com/script/jquery.js</code>
<code>94,100</code>
<code>2016/11/24 1:37:28 : http:</code><code>//s20.cnzz.com/stat.php?id=5244184&web_id=5244184</code>
<code>92,100</code>
<code>2016/11/24 1:37:28 : http:</code><code>//www.cnblogs.com/skins/nature/bundle-nature.css?v=smsmqrozamyrz003urlszzqqisve_ymedypy07gkhpw1</code>
<code>2016/11/24 1:37:29 : http:</code><code>//www.cnblogs.com/skins/nature/images/post_title.jpg</code>
<code>2016/11/24 1:37:29 : http:</code><code>//www.cnblogs.com/skins/nature/bundle-nature-mobile.css?v=hf5syjmc3zj_0xf2a1td3tonpopucyjx2zhmzhdahn81</code>
<code>2016/11/24 1:37:29 : http:</code><code>//www.cnblogs.com/images/xml.gif</code>
<code>2016/11/24 1:37:29 : http:</code><code>//www.cnblogs.com/blog/customcss/20967.css?v=wclrvddprmdyb+eeeb+wxgj0psa=</code>
<code>2016/11/24 1:37:30 : http:</code><code>//www.cnblogs.com/bundles/blog-common.js?v=hh1lcmv8waiu271nx7jpuv36tenw9-rssxzilxupjtc1</code>
<code>2016/11/24 1:37:30 : http:</code><code>//www.cnblogs.com/bundles/blog-common.css?v=rdf1bbtts5_qvaet1myrajvtd62bsccoja9fzxgv1zm1</code>
<code>線程 0x1bac 已退出,傳回值為 0 (0x0)。</code>
<code>線程 0x694 已退出,傳回值為 0 (0x0)。</code>
<code>線程 0x1ae0 已退出,傳回值為 0 (0x0)。</code>
<code>線程 0x12b8 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:29 : http:</code><code>//www.cnblogs.com/skins/nature/images/bg.gif</code>
<code>2016/11/24 1:38:29 : http:</code><code>//www.cnblogs.com/mvc/blog/news.aspx?blogapp=cyq1162</code>
<code>2016/11/24 1:38:29 : http:</code><code>//www.cnblogs.com/mvc/blog/calendar.aspx?blogapp=cyq1162&datestr=</code>
<code>2016/11/24 1:38:29 : http:</code><code>//www.cnblogs.com/cyq1162/mvc/blog/sidecolumn.aspx?blogapp=cyq1162</code>
<code>93,100</code>
<code>2016/11/24 1:38:29 : http:</code><code>//gzs20.cnzz.com/stat.htm?id=5244184&r=&lg=zh-cn&ntime=1479921109&cnzz_eid=1678838998-1457592648-http://ing.cnblogs.com/&showp=375x667&t=路過秋天 - 部落格園&h=1&rnd=458904010</code>
<code>2016/11/24 1:38:29 : http:</code><code>//a.liuzhi520.com/rt_zm/rt_adjs_common.php?id=10153</code>
<code>90,100</code>
<code>2016/11/24 1:38:29 : http:</code><code>//ix.hao61.net/d.js?cid=10153&umac=00:1b:33:28:ac:92&dmac=6c:19:8f:d1:a0:f6</code>
<code>89,100</code>
<code>2016/11/24 1:38:29 : http:</code><code>//wpa.qq.com/pa?p=2:272657997:41 &r=0.30709030851721764</code>
<code>88,100</code>
<code>線程 0xc74 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:29 : http:</code><code>//rcv.union-wifi.com/hm.gif?from=15000&_cid=10153&_dmac=6c198fd1a0f6&_umac=001b3328ac92&_ctype=mb&_black=false&url=http://www.cnblogs.com/cyq1162/&_u=1479922708766-0</code>
<code>線程 0x184 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:29 : http:</code><code>//cpro.baidustatic.com/cpro/ui/dm.js</code>
<code>線程 0x1a68 已退出,傳回值為 0 (0x0)。</code>
<code>87,100</code>
<code>2016/11/24 1:38:29 : http:</code><code>//pub.idqqimg.com/qconn/wpa/button/button_11.gif</code>
<code>線程 0xf6c 已退出,傳回值為 0 (0x0)。</code>
<code>86,100</code>
<code>2016/11/24 1:38:30 : http:</code><code>//www.cnblogs.com/skins/nature/images/bg_day.jpg</code>
<code>線程 0x17b8 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:30 : http:</code><code>//www.cnblogs.com/mvc/blog/getblogsideblocks.aspx?blogapp=cyq1162&showflag=showrecentcomment,showtopviewposts,showtopfeedbackposts,showtopdiggposts</code>
<code>線程 0x1730 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:30 : http:</code><code>//www.cnblogs.com/skins/nature/images/banner.gif</code>
<code>線程 0xf9c 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:30 : http:</code><code>//www.cnblogs.com/skins/nature/images/tit_list.jpg</code>
<code>線程 0xb38 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:31 : http:</code><code>//www.cnblogs.com/skins/nature/images/line.jpg</code>
<code>線程 0x16a4 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:31 : http:</code><code>//www.cnblogs.com/skins/nature/images/top.gif</code>
<code>線程 0x1934 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:31 : http:</code><code>//www.cnblogs.com/mvc/follow/getfollowstatus.aspx?bloguserguid=2a5e360b-63cf-dd11-9e4d-001cf0cd104b&_=1479922708661</code>
<code>線程 0x1044 已退出,傳回值為 0 (0x0)。</code>
<code>2016/11/24 1:38:32 : http:</code><code>//www.cnblogs.com/skins/nature/images/top_menu.gif</code>
<code>線程 0xefc 已退出,傳回值為 0 (0x0)。</code>
從輸出的網址上看:
從gzs20.cnzz.com之後,就開始出現幾個不知名的網站的跳轉,最後就出來了。
當我想重新重新整理,來調試每個檔案輸出的資訊時,發現廣告消失了,我靠,這是有靈敏啊!!!
搜尋一下cnzz彈廣告的事:
發現網上到處有cnzz彈廣告的資訊:
根據個人基本常識,可以90%判斷它是來源,但是,有但是哦~~~~
我看了一下電腦,并沒有設定dns,而手機,我是設定了8.8.8.8,4.4.4.4
網上也有介紹,可能是8.8.8.8這個也被劫持了。
終于的可能性也是,dns劫持後,僅對有統計插件的下手,而且是随機的!
這個廣告的插入,手法太叼了,而且反應極靈敏,一感覺到有人查,就自動消失。
像部落格的文章,隻要重新儲存,也會消失一陣子。
雖然上面做出了預判,但并沒有100%的證據來證明。
目前總體的預裝懷疑是:dns+js插件。
目前已取消8.8.8.8的dns,繼續觀察!
夜太深,寫完入眠了~~~~
本文原創發表于部落格園,作者為路過秋天,原文連結:http://www.cnblogs.com/cyq1162/p/6096283.html