捉鬼記 - Google 搜尋結果被穿插廣告

近來在筆電用 Chrome Google 查東西怪怪的,搜尋結果出現後一兩秒,最上方會冒出幾則 AdSense 廣告,廣告項目的樣式偽裝成一般查詢結果,還會隨機插穿於正常結果之間,閱讀結果時得自行剔除還常不小心點到,讓人肚爛到極點。

一度懷疑是 Google 網站改版想藉此增加廣告營收,但經過分析很快排除此一可能,理由如下:

  1. 搜尋結果先出現,廣告是被疊加上去的。有時還會先看到標準 AdSense 廣告框出現在最上方,接著廣告框消失,裡面的廣告項目改變 CSS 樣式混入正常的查詢結果中,事後加工痕跡超級明顯~ 如果是 Google 幹的,大可在伺服器端就將廣告混入搜尋結果,這種事後加料的手法比較像外掛搞鬼。
  2. Google 搜尋結果被混入廣告只出現在我筆電的 Chrome,改用 IE/Edge/Firefox 都正常,家裡跟公司 PC 的 Chrome 都沒這問題。
  3. 偷雞摸狗塞廣告干擾使用的手法太過拙劣,一樣不像 Google 的行事作風,Google 標榜 Don't be evil,深知這麼做肯定要被吐口水。

檢查筆電 Chrome 安裝的外掛,很快找到嫌犯 – Social Video Downloader。停用後,搜尋結被亂塞廣告的狀況立刻消失~

抓到嫌犯,再來就是派出 CSI 小組搜證起訴了。透過 F12 開發者工具,我找到來自可疑網域名稱(www. 9rue8ughjffo. xyz)的JS,裡面有將廣告混入結果網頁的程式碼:

往源頭追查,整理 Google 搜尋結果被加料的過程如下:

  1. 某支來自 Chrome 外掛的 analytics.js 在網頁注入 s3. amazonaws. com/js-cache/bc25…2d00.js
  2. bc25…2d00.js 在網頁注入 www. 9rue...jffo. xyz/script/d.php?uid=….
  3. d.php?uid=... 中的 JavaScript 程式負責在 Google 搜尋結果頁面塞入 AdSense 廣告並穿插進結果間

從 F12 工具查出 Chrome 外掛的識別代碼:

追到外掛所在資料夾 %appdata%\Local\Google\Chrome\User Data\Default\Extensions\amjcoehkcacocffpmhnefgoeanepjfkf,由 popup.html 確認是 Social Video Downloader 無誤。

[2018-02-24補充] 經網友 Alex Lion 提醒,檢查我安裝的外掛版本已不存在,猜想已被檢舉下架,而商店有另一個同名外掛並無此問題,推測我當初可能是誤裝了被惡意加料的山寨版。

回覆

威武~~ (怒拍驚堂木) 山寨搜羞比笛歐擋漏的,你亂塞廣告,擾人爬文,減損國力,罪大惡極,本府判你鍘刀之刑,你可認罪?
Fake Social Video Downloader: I provide you such good service, it's absolutely reasonable to make some money…
大膽刁民,沒事撂英文是欺負本府不懂逆? 來人吶,開~~~鍘~~~

就這樣,我把外掛移了還得到一個心得:

Chrome 外掛好危險,使用之前宜細選。

歡迎推文分享:
Published 24 February 2018 04:27 PM 由 Jeffrey
Filed under:
Views: 8,076



意見

# akito said on 13 March, 2018 06:08 AM

我則是今日3/13才發現我用chrome去google搜尋發現不只最上面,連搜尋結果之中也會穿插網站連結,我馬上開了另一個也是chrome核心的瀏覽器和不同核心的火狐來看,的確只有google的chrome有中鏢,按照黑暗大的步驟我也確定有9rue和amazonaws的字串出現在chrome的開發者工具裡面,目前找到18fd9474aaa726496e.js這一串接在amazonaws後面,但是我要怎麼用再透過這個js檔去找出chrome外掛的識別代碼呢?

不好意思第一次發問這麼長 還希望可以得到黑暗大的一點指導

# Jeffrey said on 13 March, 2018 08:44 AM

to akito, 你可以參考「整理 Google 搜尋結果被加料的過程」那段,我先找出 analytics.js 是掛程式的兇手,在 Network 頁籤點一下 analytics.js:1,Chrome 會開啟該程式碼,將滑鼠停在頁籤上會出現 chrome-extension://xxxx/js/analytics.js(參考「從 F12 工具查出 Chrome 外掛的識別代碼」下方圖例),用xxxx 去%appdata%\Local\Google\Chrome\User Data\Default\Extensions\ 目錄就能找到線索。

# akito said on 13 March, 2018 11:25 AM

to Jeffrey, 感謝你如此的快速就回覆我,你提到的"滑鼠停在頁籤"應該就是我沒發現的步驟,目前我在那些可疑.js的頁籤上停留所顯示的資訊,都是一連串很亂的網址,像是9rue和amazonaws開頭甚至有的是google的網址,並不像您所描述的會有這麼前顯易懂的 chrome-extension://xxxx 這樣的字串出現,這樣是否代表這些廣告也許不是透過擴充功能殖入的呢?

再次謝謝你的回覆,讓我的強迫症得到進一步的治療,看到有東西在電腦作怪卻沒把他找出來實在是很難放過它,也感謝黑暗大的部落格留言如此的方便<(_ _)>

# Jeffrey said on 13 March, 2018 09:41 PM

to akito, 惡意程式常採用 A.js 載入 B.js,B.js 載入 C.js,C.js 再載入真正發動攻擊程式的手法,要找到源頭只能一點一點往上追,就像警察辦案一樣。以你的案例,找到亂數型網址 js 的下一步是再找出誰載入它(有時程式還會用編譯混淆等技巧阻礙你追蹤),直到追出背後主謀,這是件考驗耐性及細心度的工作,May the force be with you,呵~

# akito said on 13 March, 2018 10:44 PM

Jeffrey 大你好 在今日早上我終於找出動手腳的擴充功能,也有回來這裡回覆我的緝凶過程和結果,但是不知道是不是文章太常還是裡面有imgur的網址(是我自己上傳的圖片)所以被你的網站擋下,所以沒有發表成功。不知道Jeffrey 大有看到我的回覆嗎?

# Jeffrey said on 14 March, 2018 12:09 AM

to akito, 哦哦,查了系統,沒看到你的精彩留言(想看)。你可以放在FB、Plurk(或一不做二不休,乾脆從今天開始寫Blog吧! 傳送門: dotblogs.com.tw/.../register :P )再分享連結給大家~

# 同為受害者 said on 30 March, 2018 11:25 AM

我是火狐使用者,我也遇到一樣的問題,上網搜尋東西一直有廣告穿插其間,然後最近開網路分頁跑特別久,小圈圈一直轉...(我猜可能跟java有關),搜尋了一下就決定把載音樂的外掛砍了,然後發現我不知道什麼時候裝了兩個,我一直以為只有一個,反正我都刪了,刪了之後搜尋結果瞬間快了0.16秒...

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<February 2018>
SunMonTueWedThuFriSat
28293031123
45678910
11121314151617
18192021222324
25262728123
45678910
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication