V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
input2output
V2EX  ›  Chrome

Chromium 跳转到推广链接,最终排查出是 「扩展管理器(Extension Manager)」

  input2output · 2021-07-30 21:27:54 +08:00 · 5765 次点击
这是一个创建于 1215 天前的主题,其中的信息可能已经有所发展或是发生改变。

1.发现问题:

之前访问 taobao, jd, amazon 的时候,会发现第一个 Tab 会闪一下,以为是 Chromium 的 bug,也没在意。
今天,第一个 Tab 开的页面是 Desmos,就在我搜索硬盘相关信息时,Desmos 弹窗问我是否确定离开,于是发现不对劲,点击确定,居然发现跳到了 union-click.jd.com 的一个链接
又翻了一下浏览记录,一查 union-click.jd.com,发现有多次历史,忍不了了,于是开始找原因

2.初步搜索

又把跳转后的链接找来

https://wdc.jd.com/?cu=true&utm_source=dh.tbyuantu.com&utm_medium=tuiguang&utm_campaign=t_1000537640_&utm_term=...

~/.config/chromium 里用

$ grep -Ril "tbyuantu" .
$ grep -Ril "union-click" .

命令搜索,只找到几个关系不大的文件,关于拓展的信息没有找到
又用 Google 搜索了 t_1000537640_ 字段,找到一篇公众号,但与我已用方法相同,只好自己探寻原因

3.再次探索

整理了一下已知信息,既然只在第一个 Tab 里跳转,那我就守株待兔好了
首先用 SwitchyOmega 把 union-click.jd.comdh.tbyuantu.com 指向了无效的地址
接着,在第一个 Tab 里打开自己的网站,以防其它网页有未知干扰,并且打开 dev tools
与此同时,不断打开 tb, jd 搜索硬盘之类的信息,终于,等到了我想要的
注:oozo.net 是我的网站,也就是说,它会自动跳回原网站
鼠标放上去,从 Initiator 里,可以看出前两个是由 gjldcdngmdknpinoemndlidpcabkggco 发出的,而红色的那个则是由 dhdgffkkebhmkfjojejmpbldmpobfkfo 发出的,之所以被取消,是因为我 用 SwitchyOmega 指向了无效代理,它又防止被发现才取消的

4.整理信息

由于我对 dhdgffkkebhmkfjojejmpbldmpobfkfo 是比较信任的,虽然鼠标放上去显示来自于它,但导出 har 文件后并没有找到它,也看了一下相关 js 代码,没有什么问题,估计是我使用 dev tools 的方法不正确(dhdgffkkebhmkfjojejmpbldmpobfkfo 里已关闭所有插件)
于是目光定在了 gjldcdngmdknpinoemndlidpcabkggco 上,打开

chrome-extension://gjldcdngmdknpinoemndlidpcabkggco/ct.js

一搜索,就找到了跳转的地址 p.extfun.com,终于破案了
在 V2EX 上搜索了一下这个插件,原来不是个案,早知就多翻几个帖子了,害得我浪费了半天时间

5.相关信息

dhdgffkkebhmkfjojejmpbldmpobfkfo : Tampermonkey
gjldcdngmdknpinoemndlidpcabkggco : Extension Manager
chrome-extension://gjldcdngmdknpinoemndlidpcabkggco/ct.js 的存档
V2EX 上有相同遭遇的帖子

第 1 条附言  ·  2021-07-31 09:20:00 +08:00

重新整理了一下 har 文件,比较长,建议搭配 json 阅读器分析
链接:https://gist.github.com/iochen/8db924cb4bc953f883d606a9d97017c0
其中 entries 下的第一个估计是用来统计的,第二个则是跳转推广地址的,甚至现在打开请求链接,还能获取到推广地址

https://cs.dakinl.cn/jclk?itid=HaHR0cHM6Ly93ZGMuamQuY29tLw%3D%3D&uid=fbc82bd4ba9d63ddf37ad3354962559e&name=emgr
24 条回复    2024-09-09 10:10:42 +08:00
mywaiting
    1
mywaiting  
   2021-07-30 22:37:25 +08:00   ❤️ 1
专门跑去官网下载了一个回来分析一下,还真是~
djs
    2
djs  
   2021-07-30 23:57:47 +08:00 via iPhone
这是什么插件
iseki
    3
iseki  
   2021-07-31 00:04:11 +08:00 via Android
举报了没
Immortal
    4
Immortal  
   2021-07-31 00:09:49 +08:00
卧槽...我今天刚把 二管家 卸载了装了这玩意儿
goodhellonice
    5
goodhellonice  
   2021-07-31 00:46:06 +08:00 via iPhone
正在用………
HankLu
    6
HankLu  
   2021-07-31 02:07:05 +08:00   ❤️ 1
pbgjpgbpljobkekbhnnmlikbbfhbhmem
这个不错,用了很多年了
Tiande
    7
Tiande  
   2021-07-31 02:11:33 +08:00
谢谢,已卸载
harwck
    8
harwck  
   2021-07-31 09:31:17 +08:00
用这些所谓的 Manager 有什么方便之处么。
要用的直接 Pin 不就好了
input2output
    9
input2output  
OP
   2021-07-31 09:33:08 +08:00
@iseki #3 已举报
@harwck #8 有一个插件在访问某网站时会导致该网站卡死,所以当时用了这个插件
Immortal
    10
Immortal  
   2021-07-31 10:26:56 +08:00   ❤️ 2
@harwck #8
如果插件安装了很多 又不想一直开着浪费内存 可以根据路由匹配开启
比如 v2 这边自动开启 V2EX plus 等
我最需要的是这个功能
xujiahui
    11
xujiahui  
   2021-07-31 13:10:38 +08:00
自从 Chrome 出了自带的插件管理后就不用其他的了
goodhellonice
    12
goodhellonice  
   2021-07-31 13:35:58 +08:00
@HankLu 感谢推荐 已经用上
iseki
    13
iseki  
   2021-07-31 15:21:30 +08:00   ❤️ 2
himccccaelhgphommckogopgpddngimf 这个也不错,感觉很轻量
amamiya
    14
amamiya  
   2021-08-01 19:26:14 +08:00   ❤️ 1
已举报 感谢
elviscai
    15
elviscai  
   2021-08-01 20:27:23 +08:00   ❤️ 1
Edge 市场上有个专门搬运 Chrome 扩展加推广代码的(好像还写了本前端的书
taoran
    16
taoran  
   2021-08-02 15:07:39 +08:00   ❤️ 1
早就发现后台选项卡的页面经常会自己跳返利链接,这个问题困扰我好一段时间了,刚刚监控了一下 DevTools 。也发现了居然是这个狗插件劫持的,气死。
在 DevTools 的网络选项卡里搜索 cs.dakinl.cn ,会发现发起程序就是扩展管理器
它会请求这个接口 https://cs.dakinl.cn/jclk?itid=XXXX
拿返利链接,还是在后台选项卡偷偷请求并访问,切换回去他还会帮你跳转回去。我服了。并且还是根据你当前访问的店铺来拿的当前店铺的返利链接,狗东西,气死。
发起程序:
send @ct.js: 25
ajax @ct.js: 25
kebamt
    17
kebamt  
   2021-08-02 19:38:36 +08:00
已在 Chrome Web Store 举报
meisen
    18
meisen  
   2021-08-02 20:28:30 +08:00
感谢,已举报
unlsycn
    19
unlsycn  
   2021-08-04 23:12:29 +08:00
以前还用过一段时间..后来换二管家了
irainsoft
    20
irainsoft  
   2021-08-06 05:49:18 +08:00   ❤️ 1
去年我就发现了这个问题,我还发了贴,但似乎当时只在海外 IP 下弹,所以很多人没发现

https://www.v2ex.com/t/684433
qinsi
    21
qinsi  
   149 天前
@unlsycn 二管家有问题 赶紧换
unlsycn
    23
unlsycn  
   139 天前 via Android
@qinsi 被 Chrome W eb Store 下架时就换啦
toto30
    24
toto30  
   79 天前
@jianyisiqian #22
对,下面那个是在 Github 上开源的,而且功能强不少,也一直更新
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5965 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 24ms · UTC 06:24 · PVG 14:24 · LAX 22:24 · JFK 01:24
Developed with CodeLauncher
♥ Do have faith in what you're doing.