请问如何确定恶意广告来源?

最近被广告困扰。
先说一下网络环境:联通宽带,从光猫出来后接路由器,电脑和手机通过路由器上网。路由器刷的小宝的meilin,安装了koolproxy和ss插件。

大概两个月之前,手机浏览器上开始出现悬浮窗广告,以前未出现过。
悬浮窗如下图。

点击打开后的页面分别如下


实际上两个广告页面的地址均为http://m.wyym88.com/mailaIndex?mailaAppKey=RKPkBGVat1Jw7T4reWFKvf
打开 m.wyym88.com 发现页面只显示“OK”两个字符,没有其他内容。搜索关键字“mailaAppKey”,发现前几项都是商城广告,域名均为 m.maila88.com ,打开后页面同样只显示“OK”两个字符,而 www.maila88.com 打开为“麦啦电商导购联盟”。

而且只有每天刚开始用手机浏览器打开网页时的几次会出现,刷新两三次或者浏览其他页面之后当天就不再出现,第二天再出现。
至于电脑上倒没出现,不知是由于广告只针对移动端,还是由于电脑chrome的Adblock Plus把广告给屏蔽掉了。

由于这个广告在各网站都会出现,印象中用http连接小众软件时也会出现,所以个人判断是联通在搞鬼,或者路由器中有恶意代码。由于广告出现在手机端,代码方面的知识有限,所以特来请教,如何确定或者直接证明这个广告是联通还是路由器中恶意代码添加的?

PS.这两天电脑桌面右下角也开始出现天猫双11的弹窗广告,昨天一气之下给联通打电话,不出所料,客服建议换个路由器或者直接通过光猫试试。不过我也确实没有证据证明是联通搞鬼,只得作罢。结果弹窗又出现时,用 AHK 的 Windows Spy 查看发现弹窗是搜狗输入法的SogouCloud.exe在搞鬼,暂时错怪联通了。话说一直用搜狗输入法的智慧版,没出现过广告,看来是双11的诱惑太大吧。

更新:忘记说了,最近两天还出现了dns劫持,http连接小众时会打开广告页面,同样是只有早晨最开始手机端浏览的第一两个页面会劫持。 尝试更换过dns,但与自动获取相比速度太慢,无奈又改为自动获取。

简单来说,如果是http劫持,那么你上HTTPS页面是不会有的,这样就可以判断是不是联通搞鬼了,其次很有可能是浏览器在搞鬼,最后再去考虑路由器的问题。

另外现在搜狗就是这样,很少弹广告,毕竟也是以前大家的槽点,现在各种优化版输入法也是冲着这个卖点去的,但实际真的很少,偶尔出来一下就会有一种“原来你也会弹广告”的感觉。

如果是Android手机的话,还得考虑应用和系统的可能性
可以用 wireshark 或 fiddler 抓包看看

月饼厂打广告的技术挺不错的……

忘记说了,最近两天还出现了dns劫持,http连接小众时会打开广告页面,同样是只有早晨最开始手机端浏览的第一两个页面会劫持。
尝试更换过dns,但与自动获取相比速度太慢,无奈又改为自动获取。

应该不是浏览器搞鬼吧,用的ios的chrome,没有越狱,应该没问题的。

其实如果真一个个排除的话,关键难点在于不易重现,每天只有最开始的一两次会出现,不好判断。而且是在手机端,抓包的话感觉会很麻烦,无奈技能和精力都比较有限。哎,有点上头

是ios,没有越狱,浏览器是chrome。
我也是考虑抓包,能直接发现问题。但广告页面不好重现,每天只有最开始第一两次会有广告,而且是在手机端。
手机是ios,电脑是win7,都通过路由器上网,请问这样可以用 wireshark 或 fiddler 或其他软件在电脑上截取手机的数据包吗?或者是用电脑建立wifi热点,手机连接之后,再通过电脑抓包?

是不是每天第一二次也是通过网页代码来判断的,依旧会连结广告服务器,所以任何时候都可以抓,只是那个广告代码自动判断已经显示过就不显示了。根据你的描述基本,运营商的概率已经比较高了。

DNS你应该没找到合适的,正常来说国内的服务器,只要不丢包,解析的过程应该不会感到区别的,只可能解析不到CDN,或者解析到错误的线路(比如移动)导致页面资源加载慢(现在的网速也就图片会有感觉吧)。

原来是这样,又学到了。
关于DNS可能是路由器里某些地方我没设置好吧,WAN页面可以设置,LAN页面里也可以设置,SS插件里还有一个国内DNS……换了DNS之后要么打开网页很慢,要么干脆打不开,索性自动获取,有时间再调教。

就这只WAN的,其他的默认不要动,你很可能设置了ss的代理然后出问题

电脑建WiFi热点或者代理服务器,这方面的教程很多,搜软件名+抓包就是

电脑建WiFi热点或者代理服务器,这方面的教程很多,搜软件名+抓包就是

正点闹钟系列应用在 Android 干过这事。

这两天广告没再出现。
早晨起来先连4g打开几个网页,没广告,把路由器里的koolproxy插件关掉之后连wifi,还没广告,再koolproxy打开,仍然没广告,貌似是正常了。
并没有发现是谁的锅 :joy:

广告插入如果能确定不是网站的锅,一般就是运营商和路由的问题.

电脑用f12, 手机就别较劲了.

广告刚没几天,又有了…
抓包的结果一时看不太懂,突然想到把电脑浏览器的user agent改为手机,果然有广告。去掉路由器,直接连光猫,还有广告。联通的锅……

访问爱奇艺时被劫持页面与正常页面的对比↓↓↓

请求的页面被插入到iframe中,同时还在url后面加了一段尾巴,然后附带广告链接。

http访问小众时被劫持,页面出现广告,url被添加尾巴↓↓↓

在加载过程中,出现的广告会一闪而过,网页自动刷新,然后不显示广告。在正常https连接小众时,也会有个自动刷新的过程,感觉是先加载一个空白页面,然后再加载正常页面。这个过程很快,我是用F12查看代码加载过程才发现的,截图是从屏幕录像中截取的,不然太快截不到……

请教各位大佬,这种情况是怎么被劫持的,DNS吗?还有,url后面加的随机数尾巴有什么用?

刚刚访问爱奇艺直接被劫持跳转了……