徹查手機端瀏覽博客園出現廣告一事！

背景：

不知什麼起，用手機端瀏覽博客園的頻率變多了。

也不知何時，瀏覽就成了這個樣子，滿屏是廣告：

手機端就那麼點空間，三分之二都是廣告，我靠！！！！！

因而，不斷追尋着真相！！！

1：懷疑打賞插件：

細心的網友發現，我把打賞插件去了，而是直接換成了在下面的兩張圖片。

在發現廣告之初，個人思惟是這樣的：

A：我發現其它人的博客基本沒有廣告。

B：只有個人博客有廣告。

C：電腦沒有，只有手機端出現。

所以，我懷疑個人博客連接的第3方的網址引起的。

因而，我徹查了一下，發現引入了第三方打賞插件的JS。

神奇的是，當我把JS刪除，保存後，廣告居然就消失了！！！

所以，我有點火了，一個開源的JS，居然偷偷摸摸插廣告？

一度我想寫文噴這種行爲！

不過要寫文，就要拿證據，由於，我必須拿到源代碼，並且有截圖！

因而，我新建了個Demo頁，引入JS，在手機端瀏覽，期待它出來廣告之時，居然木有？？？？

咋了，居然出乎個人預期？

因而，我進一步在園子裏找，其它引用該插件人的博客。

用手機端瀏覽，發現，對方的博客居然也沒有彈！！！

既然廣告不彈了，就無論了，我也再也不引入該JS，換成圖片了！！！

2：懷疑房東的網絡或電信網絡：

才過沒1-2天，廣告又襲來了，並且變本加厲，從原來的1/3屏，到如今的2/3屏。

記得好久前，我就寫過一篇文章：簡說寬帶商的彈窗廣告進化及網站應對之策（DNS劫持進化論）

所以，既然不是第三方插件，頗有理由，相信網絡的劫持！

並且，劫持手機端，我還迫不得已，由於電腦端還能寫個軟件或改host屏蔽，手機端。。。唉！

忍了！！！！後來在閃存給dudu @了一個，但願它從源頭處理。

dudu的反饋是這樣的：

可是昨晚的一件事，讓我懷疑這事並不簡單。

我在另外一個地區的地方訪問時（其它電信網絡），一樣出現了廣告，並且是如出一轍的廣告。

我覺的運營商就算彈廣告，也是各自爲政，分散小團體搞，不可能在一個市的層面上搞。

可是也沒有辦法去證明。

3：二度懷疑是cnzz插件

說二度，就是在懷疑打賞插件時，我博客也就只剩下引入cnzz插件了。

就在剛剛，1點多的時候，發現睡不着，手機瀏覽一下，又是滿屏的廣告，火大了！！！！！

瑪尼，三更半夜又咋的，躺牀上又咋的，起牀開電腦，必定要徹查！！！！

打開Fiddler來追蹤，結果發現攔截不到（大概fiddler監聽的是127.0.0.1，沒細想）

因而打開了秋式廣告殺的項目：

雖然它如今已經退休，沒怎麼維護了，但它目前最好的效用就是用來攔截調試手機端的請求。

運行軟件，懷念一下：

默認監聽着8888端口，Debug模式下，會輸出全部請求的網址：

接着把手機端的代理設置上：

而後在手機瀏覽本身的博客，接着看輸出的窗口信息：

「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_64\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
「秋式廣告殺手.exe」(託管): 已加載「F:\Code\開源代碼\AdKiller\AdKiller\bin\Debug\秋式廣告殺手.exe」，符號已加載。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\System.Drawing\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_64\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.Xml.dll」，已跳過符號加載。已對模塊進行了優化並啓用了調試器選項「僅個人代碼」。
在 System.Net.Sockets.SocketException 中第一次偶然出現的「System.dll」類型的異常
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_zh-CHS_b77a5c561934e089\mscorlib.resources.dll」，未加載符號。
「秋式廣告殺手.exe」(託管): 已加載「C:\Windows\assembly\GAC_MSIL\System.resources\2.0.0.0_zh-CHS_b77a5c561934e089\System.resources.dll」，未加載符號。
在 System.ArgumentException 中第一次偶然出現的「mscorlib.dll」類型的異常
在 System.ArgumentException 中第一次偶然出現的「mscorlib.dll」類型的異常
線程 0x1adc 已退出，返回值爲 0 (0x0)。
99,100
線程 0x1188 已退出，返回值爲 0 (0x0)。
在 System.Net.Sockets.SocketException 中第一次偶然出現的「System.dll」類型的異常
99,100
99,100
99,100
2016/11/24 1:37:28 : http://www.cnblogs.com/cyq1162/
98,100
2016/11/24 1:37:28 : http://www.cnblogs.com/cyq1162/mvc/blog/sidecolumn.aspx?blogApp=cyq1162
97,100
96,100
2016/11/24 1:37:28 : http://www.cnblogs.com/mvc/Blog/GetBlogSideBlocks.aspx?blogApp=cyq1162&showFlag=ShowRecentComment,ShowTopViewPosts,ShowTopFeedbackPosts,ShowTopDiggPosts
95,100
2016/11/24 1:37:28 : http://common.cnblogs.com/script/jquery.js
94,100
2016/11/24 1:37:28 : http://s20.cnzz.com/stat.php?id=5244184&web_id=5244184
92,100
2016/11/24 1:37:28 : http://www.cnblogs.com/skins/nature/bundle-nature.css?v=SMSmqROZamyrz003uRLsZZQqisVE_ymEDyPy07GKHPw1
95,100
2016/11/24 1:37:29 : http://www.cnblogs.com/skins/nature/images/post_title.jpg
94,100
2016/11/24 1:37:29 : http://www.cnblogs.com/skins/nature/bundle-nature-mobile.css?v=hF5SyjmC3Zj_0xF2a1Td3ToNpOPUCyJX2ZHMzhdAhN81
95,100
2016/11/24 1:37:29 : http://www.cnblogs.com/images/xml.gif
2016/11/24 1:37:29 : http://www.cnblogs.com/blog/customcss/20967.css?v=WcLrvDdPRmDYb+eeeB+wxgj0PsA=
95,100
96,100
2016/11/24 1:37:30 : http://www.cnblogs.com/bundles/blog-common.js?v=hH1lCMV8WaIu271Nx7jPuv36TENW9-RsSxziLxUpjtc1
95,100
2016/11/24 1:37:30 : http://www.cnblogs.com/bundles/blog-common.css?v=Rdf1BBttS5_qVaET1myrajVTd62BSCCoJA9fZxGv1ZM1
94,100
在 System.Net.Sockets.SocketException 中第一次偶然出現的「System.dll」類型的異常
94,100
線程 0x1bac 已退出，返回值爲 0 (0x0)。
97,100
線程 0x694 已退出，返回值爲 0 (0x0)。
線程 0x1ae0 已退出，返回值爲 0 (0x0)。
線程 0x12b8 已退出，返回值爲 0 (0x0)。
97,100
97,100
97,100
97,100
2016/11/24 1:38:29 : http://www.cnblogs.com/skins/nature/images/bg.gif
96,100
2016/11/24 1:38:29 : http://www.cnblogs.com/mvc/blog/news.aspx?blogApp=cyq1162
95,100
2016/11/24 1:38:29 : http://www.cnblogs.com/mvc/blog/calendar.aspx?blogApp=cyq1162&dateStr=
94,100
2016/11/24 1:38:29 : http://www.cnblogs.com/cyq1162/mvc/blog/sidecolumn.aspx?blogApp=cyq1162
93,100
2016/11/24 1:38:29 : http://gzs20.cnzz.com/stat.htm?id=5244184&r=&lg=zh-cn&ntime=1479921109&cnzz_eid=1678838998-1457592648-http://ing.cnblogs.com/&showp=375x667&t=路過秋天 - 博客園&h=1&rnd=458904010
92,100
2016/11/24 1:38:29 : http://a.liuzhi520.com/rt_zm/rt_adjs_common.php?id=10153
90,100
2016/11/24 1:38:29 : http://ix.hao61.net/d.js?cid=10153&umac=00:1B:33:28:AC:92&dmac=6c:19:8f:d1:a0:f6
89,100
2016/11/24 1:38:29 : http://wpa.qq.com/pa?p=2:272657997:41 &r=0.30709030851721764
88,100
線程 0xc74 已退出，返回值爲 0 (0x0)。
2016/11/24 1:38:29 : http://rcv.union-wifi.com/hm.gif?from=15000&_cid=10153&_dmac=6c198fd1a0f6&_umac=001B3328AC92&_ctype=mb&_black=false&url=http://www.cnblogs.com/cyq1162/&_u=1479922708766-0
線程 0x184 已退出，返回值爲 0 (0x0)。
88,100
2016/11/24 1:38:29 : http://cpro.baidustatic.com/cpro/ui/dm.js
線程 0x1a68 已退出，返回值爲 0 (0x0)。
87,100
2016/11/24 1:38:29 : http://pub.idqqimg.com/qconn/wpa/button/button_11.gif
線程 0xf6c 已退出，返回值爲 0 (0x0)。
86,100
88,100
2016/11/24 1:38:30 : http://www.cnblogs.com/skins/nature/images/bg_day.jpg
線程 0x17b8 已退出，返回值爲 0 (0x0)。
87,100
2016/11/24 1:38:30 : http://www.cnblogs.com/mvc/Blog/GetBlogSideBlocks.aspx?blogApp=cyq1162&showFlag=ShowRecentComment,ShowTopViewPosts,ShowTopFeedbackPosts,ShowTopDiggPosts
線程 0x1730 已退出，返回值爲 0 (0x0)。
90,100
2016/11/24 1:38:30 : http://www.cnblogs.com/skins/nature/images/banner.gif
90,100
線程 0xf9c 已退出，返回值爲 0 (0x0)。
2016/11/24 1:38:30 : http://www.cnblogs.com/skins/nature/images/tit_list.jpg
線程 0xb38 已退出，返回值爲 0 (0x0)。
92,100
2016/11/24 1:38:31 : http://www.cnblogs.com/skins/nature/images/line.jpg
線程 0x16a4 已退出，返回值爲 0 (0x0)。
2016/11/24 1:38:31 : http://www.cnblogs.com/skins/nature/images/top.gif
線程 0x1934 已退出，返回值爲 0 (0x0)。
92,100
2016/11/24 1:38:31 : http://www.cnblogs.com/mvc/Follow/GetFollowStatus.aspx?blogUserGuid=2a5e360b-63cf-dd11-9e4d-001cf0cd104b&_=1479922708661
93,100
線程 0x1044 已退出，返回值爲 0 (0x0)。
2016/11/24 1:38:32 : http://www.cnblogs.com/skins/nature/images/top_menu.gif
線程 0xefc 已退出，返回值爲 0 (0x0)。

從輸出的網址上看：

從gzs20.cnzz.com以後，就開始出現幾個不知名的網站的跳轉，最後就出來了。

當我想從新刷新，來調試每一個文件輸出的信息時，發現廣告消失了，我靠，這是有靈敏啊！！！

搜索一下cnzz彈廣告的事：

發現網上處處有cnzz彈廣告的信息：

但真相是否是它呢？

根據我的基本常識，能夠90%判斷它是來源，可是，有可是哦~~~~

4：懷疑DNS被劫持！

我看了一下電腦，並無設置DNS，而手機，我是設置了8.8.8.8，4.4.4.4

網上也有介紹，多是8.8.8.8這個也被劫持了。

終於的可能性也是，DNS劫持後，僅對有統計插件的下手，並且是隨機的！

總結：

這個廣告的插入，手法太叼了，並且反應極靈敏，一感知到有人查，就自動消失。

像博客的文章，只要從新保存，也會消失一陣子。

雖然上面作出了預判，但並無100%的證據來證明。

目前整體的預裝懷疑是：dns+js插件。

目前已取消8.8.8.8的dns，繼續觀察！

夜太深，寫完入眠了~~~~

 

下一篇文章：關於開啓.NET衆籌在線培訓的通知！