泥潭日报 uscardforum · 内容汇总

刷论坛时被跳转至恶意网站问题汇报贴

内容摘要

论坛广告遭入侵致恶意跳转,非中毒,建议使用去广告插件。

关键信息

  • 官方声明:站长澄清自动跳转恶意网站是合作的第三方广告平台被入侵导致的 bug,并非论坛特征,也非用户设备中毒 (#1, #270)。
  • 汇报要求:站长呼吁遇到跳转的坛友在该帖汇报,并提供跳转后的截图和 URL 以便向广告平台交涉解决 (#1, #270)。

经验与数据点

  • 受影响范围:多位坛友在 macOS、Chrome、iOS Safari 等不同设备和浏览器上均遇到了强制跳转 (#12, #21, #162, #269, #273)。
  • 攻击表现:跳转目标多为虚假的安全警告(如仿冒 McAfee 或 Norton)或中奖诈骗(如 Walmart、AT&T 提示中奖,且会根据运营商定向投放)(#2, #5, #6, #162, #172, #209)。
  • 避险方案:多位坛友反馈使用 AdBlocker 可完美解决此问题 (#9, #10, #166),并分享了具体工具:
  • iOS Safari:推荐使用 AdGuard 或 AdBlock Pro (#15)。
  • Android Firefox:推荐安装 uBlock Origin 插件 (#20)。
  • Brave 浏览器:自带拦截,无感体验 (#19)。

风险/限制/注意事项

  • 技术原理:坛友根据 Chrome 缓存和网络日志分析,确认这是一次基于 Video Ad (VAST/VPAID) 的供应链投毒攻击,源头疑似来自 vid.connatix.comopamarketplace.com 视频广告网络,Payload 经过 AES 加密绕过了静态扫描 (#172)。
  • Service Worker 注入风险:恶意脚本会尝试注册 Service Worker 进行持久化攻击,即使关闭网页仍可能在后台运行 (#172)。
  • 用户自查与防范
  • 建议 Chrome 用户在地址栏输入 chrome://serviceworker-internals/,排查是否存在乱码或 .xyz 结尾的域名,若有则立即点击 Unregister (#172)。
  • 绝对不要点击诈骗页面的“立即查杀”或“更新驱动”,防止下载运行恶意 .exe.msi 文件导致密码和 Session Token 被盗 (#172)。

值得跟进

  • 给管理员的防御建议
  • 在 Google Ad Manager 或广告后台中屏蔽 "Software / Utilities" 及其子类别的广告 (#172)。
  • 重点审查来自 Connatix 或 Opa Marketplace 的视频广告素材 (#172)。
  • 收紧 Content Security Policy (CSP),限制 iframe 的 allow-top-navigation 权限,防止广告 frame 强制重定向主页面 (#172)。
原始内容
--- 第 1 楼来自 uscreditcardguide 的回复 (2024-12-31 08:00:00 PST) ---

偶尔有坛友在刷论坛的时候,会被自动跳转到恶意网站。请大家放心这不是feature而是bug,也不是你的电脑/手机中病毒了。这种恶意跳转都是因为我们合作的第三方广告平台被恶意入侵导致的。广告平台被恶意入侵是时不时就会发生的事情,没有办法从根源上避免。一旦遇到这种情况,我们可以迅速给广告平台汇报,他们会想办法努力干掉这些恶意跳转。这个帖子就是汇报这个问题的地方。 请大家汇报数据点时带上这些信息: 跳转后的截图 跳转后的URL

--- 第 2 楼来自 rfclub 的回复 (2025-01-03 20:40:44 PST) ---

近几天,经常在本网站浏览的过程中被 redirect 到下面诈骗网站。 应该是某些广告有不良信息或 adware。 站长请留意一下。 /uploads/short-url/gmxjvdSxaAHPYnm29rSMBcQRTlo.png?dl=1

--- 第 3 楼来自 cowboy 的回复 (2025-01-03 20:41:48 PST) ---

#p-4938694-adblock-block-ads-across-the-web-1AdBlock — block ads across the web

--- 第 4 楼来自 Olympics 的回复 (2025-01-03 20:42:44 PST) ---

/u/uscreditcardguide

--- 第 5 楼来自 pats7 的回复 (2025-01-03 20:44:11 PST) ---

+1,从诈骗页按一次返回是一个沃尔玛的东西,再按一次返回回本站

--- 第 6 楼来自 JK叔叔 的回复 (2025-01-03 20:44:55 PST) ---

而且会根据你的网络运营商来发广告。你是ATT就是ATT提示你中奖了。

--- 第 7 楼来自 MapleL 的回复 (2025-01-03 20:45:29 PST) ---

2023年好像早些时候也有收到过 之后又很长时间没有了 然后这两天也有出现了 /uploads/short-url/sLhbbaMb61GVnOmHtAOZExDXsoZ.jpeg?dl=1

--- 第 8 楼来自 katrix 的回复 (2025-01-03 20:47:20 PST) ---

我前段时间才发现,原来泥潭是有广告的

--- 第 9 楼来自 打豆豆 的回复 (2025-01-03 20:48:26 PST) ---

竟然有人网上冲浪不带adblock ublock adguard 很久以来我都不知道泥潭有广告…

--- 第 10 楼来自 summitguy 的回复 (2025-01-03 20:48:50 PST) ---

不鼓励讨论本坛 顺带说一句,带adblock我都不会感觉到本站有广告

--- 第 11 楼来自 联合航空 的回复 (2025-01-03 21:07:36 PST) ---

跟我说:谢谢楼主

--- 第 12 楼来自 Dandelion_L 的回复 (2025-01-03 21:40:13 PST) ---

之前手机拿chrome刷泥潭确实会不知道碰到什么甚至是啥都没点就跳转到莫名其妙的网站,换了Safari之后还没出现过。

--- 第 13 楼来自 Anchorage 的回复 (2025-01-03 22:13:29 PST) ---

+1本来以为是DNS劫持

--- 第 14 楼来自 hahaforhaha 的回复 (2025-01-03 22:36:28 PST) ---

手机要怎搞,求教学

--- 第 15 楼来自 打豆豆 的回复 (2025-01-03 22:37:53 PST) ---

我用的adguard + adblock pro 能屏蔽safari里面的广告 (安卓手机上 adguard 貌似是全系统浏览器都能屏蔽)

--- 第 16 楼来自 maruha 的回复 (2025-01-03 22:40:41 PST) ---

是不是用了美团

--- 第 17 楼来自 hahaforhaha 的回复 (2025-01-03 22:47:11 PST) ---

打豆豆: adblock pro 背景自动更新说要收钱,所以是自己定期打开更新吗

--- 第 18 楼来自 打豆豆 的回复 (2025-01-03 22:48:24 PST) ---

我从没更新过 安装好之后就没打开过这些软件了 adguard用的时间更久 我隐约记得adblock pro是为了屏蔽YouTube视频?但后来买了土耳其会员就没注意这个好不好用

--- 第 19 楼来自 democrat 的回复 (2025-01-03 22:48:55 PST) ---

原來有廣告的嗎 brave browser 無感

--- 第 20 楼来自 roronoazoro 的回复 (2025-01-03 22:52:17 PST) ---

Android 用 Firefox 的可以装 ublock add-on

--- 第 21 楼来自 Laurin 的回复 (2025-04-11 00:57:36 PDT) ---

iPhone持续性自动跳转这个网页,请问iPhone是不是中病毒了?这个网站是不是钓鱼网站? /uploads/short-url/cBJs0RAqpZWZlsRebCjH3Aiemdi.jpeg?dl=1 /uploads/short-url/648jPqBOTwbofGKZ465zVHXJmv3.jpeg?dl=1 /uploads/short-url/69OE1cyubevIp9LX6QbiJQlIbs9.jpeg?dl=1

--- 第 162 楼来自 azusacal 的回复 (2025-12-02 23:45:06 PST) ---

不知道发在哪个板块,如果不对,请帮忙搬一下,谢谢 最近打开泥潭页面,放着没动,经常就跳转到这种页面,是Mac或者Chrome中毒了吗? 有人遇到过类似的情况吗?怎么解决啊,问了下GPT,也恢复了Chrome默认设置,还是一样跳转 /uploads/short-url/1JHtdaRmkaLxpHeyo1drcNgy3iz.jpeg?dl=1

--- 第 163 楼来自 bairimeng 的回复 (2025-12-02 23:46:34 PST) ---

很正常,比如你只要打 Temu 就会被自动链接,编辑一切正常 装个去广告插件吧

--- 第 164 楼来自 azusacal 的回复 (2025-12-02 23:47:48 PST) ---

意思是论坛自己的广告跳转吗 不是被什么恶意插件攻击了吧

--- 第 165 楼来自 bairimeng 的回复 (2025-12-02 23:49:42 PST) ---

你回复框敲个 Temu 再看发出去的消息就知道了

--- 第 166 楼来自 azusacal 的回复 (2025-12-02 23:56:19 PST) ---

感谢,看来得去安个adblocker

--- 第 167 楼来自 pandan 的回复 (2025-12-02 23:59:31 PST) ---

Chrome-Settings-Privacy and security-Site Setting-Notifications看看是不是设了什么网站

--- 第 168 楼来自 azusacal 的回复 (2025-12-03 00:10:41 PST) ---

ok, 我去看看,谢谢

--- 第 171 楼来自 Olympics 的回复 (2026-01-16 03:56:01 PST) ---

看样子还是没有彻底修复……我在过去的半个小时经历了两次恶意跳转 严重影响刷论坛的体验 /u/uscreditcardguide /uploads/short-url/iBRFrgAIXlBf56i2Aea26WT0IVD.png?dl=1

--- 第 172 楼来自 LiquidSnake 的回复 (2026-02-02 11:21:31 PST) ---

今天下午在浏览论坛时,遇到了一次非常典型的 恶意广告重定向攻击 (Malvertising) 。浏览器被强制跳转到诈骗页面(仿冒 McAfee)。 经过对浏览器缓存和网络日志的取证分析,确认这是一次基于 Video Ad (VAST/VPAID) 的供应链投毒攻击。为了防止更多人中招,特此发帖预警,并提供技术证据供管理员排查。 #p-8508396-h-0-10.对普通用户的紧急建议 #p-8508396-mcafee-service-workerinject-2这个网页会弹出虚假的McAfee, 并请求推送权限等. 如果遇到类似情况, 不要点击任何内容, 直接关闭网页, 并根据下文排查 Service Worker是否遭受inject 这次攻击最恶心的地方在于它尝试注册 Service Worker 。这意味着即使你关掉了网页,恶意脚本可能仍在后台运行。 请务必检查你的浏览器: 在 Chrome 地址栏输入 chrome://serviceworker-internals/ 搜索是否存在乱码域名(如 cheerful-vista... 或类似 .xyz 结尾的域名)。 如果发现,请立即点击 Unregister 。 此类恶意广告网络常被用于分发窃密木马, 如果点击了页面上的“立即查杀”或“更新驱动”按钮,可能会下载并运行真正的恶意 .exe 或 .msi 文件,导致浏览器保存的密码和 Session Token 被盗。 #p-8508396-h-3如果你点击了任何按钮, 请立即全盘查杀病毒, 并修改密码 #p-8508396-h-1-41. 攻击现象: 在浏览帖子时,页面出现卡顿,随后当前页面的 DOM Title 被篡改为 McAfee Privacy Protection ,紧接着通过 top.location 强制跳转到 .xyz 诈骗域名。 /uploads/short-url/b2p3RQhQtBtLQS4M1zfGO3KFEwW.png?dl=1 #p-8508396-h-2-52 . 溯源分析 通过提取 Chrome Cache中的明文日志,发现攻击向量大概率来自 视频广告网络 。 攻击入口: 页面加载了 vid.connatix.com 和 opamarketplace.com 相关的 VAST 视频广告标签。 Payload 加密: 恶意脚本通过 AES 加密(日志中捕获到 Salted__ 开头的 OpenSSL 密文)传输,绕过了静态安全扫描。 攻击链: Video Player → VAST Tag → Malicious JS → DOM Manipulation → Redirect. 以下是从内存缓存中提取的关键日志片段: . 恶意域名的出现与加密 Payload: ?^~1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz … https://cheerful-vista-dreamscape-basecamp.xyz/?2qw3n=U2FsdGVkX1… (Encrypted Payload)` 2. 尝试注册 Service Worker (持久化攻击): ir1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz/serviceWorker.js%60 3. 关联的广告请求 (可能是被投毒的源头): 1/0/_dk_https://uscardforum.com … https://vid.connatix.com/pid-… 1/0/_dk_https://uscardforum.com … https://servx.opamarketplace.com/api/adserver/vast3/…` /uploads/short-url/zHvTKZTd6Uke4H9dZkcV0HxbUWJ.png?dl=1 4. 发现遭受 Service Worker injection /uploads/short-url/tbznga8X9oZLhYUItbTkGBvgkEj.png?dl=1 #p-8508396-h-3-63.给管理员的建议 说实话发生这种事情, Google Ad Network 背 80% 的锅, 他们的审查机制被绕过了 不过这次攻击可能是定向投毒。建议论坛在 Google Ad Manager 或相关广告后台中: 检查并屏蔽 Software / Utilities 及其子类别的广告。 重点审查来自 Connatix 或 Opa Marketplace 的视频广告素材。 如果可能,收紧 Content Security Policy,限制 iframe 的 allow-top-navigation 权限,防止广告 frame 重定向主页面。 希望大家注意安全。

--- 第 209 楼来自 tomxia 的回复 (2026-03-18 17:41:12 PDT) ---

遇到类似仿Norton恶意广告,非常烦人。不想用adblock白嫖资源,但是请admin关注一下。

--- 第 232 楼来自 SkylerY 的回复 (2026-05-20 17:06:22 PDT) ---

最近几天突然变这样了,看一会就会冒出来,挂一会也会冒出来,有没有d大的解释一下,怎么解决哇 /uploads/short-url/8f56UrI1ixzE4Diqh3QYefDWSiP.png?dl=1 /uploads/short-url/q4sI3VoOr61Rfd8UepZO6OhZ3fb.png?dl=1

--- 第 263 楼来自 aqua 的回复 (2026-06-10 21:20:24 PDT) ---

https://www.uscardforum.com/t/topic/492138/11

--- 第 269 楼来自 JackF 的回复 (2026-07-06 19:37:54 PDT) ---

泥潭被挂马了还是我iPhone中毒了?不知道点到啥跳进了卖咖啡广告页面 /uploads/short-url/jq9V8cO48YrPvXEC3M3BxjKU7Wv.png?dl=1

--- 第 270 楼来自 uscreditcardguide 的回复 (2026-07-06 20:05:33 PDT) ---

偶尔有坛友在刷论坛的时候,会被自动跳转到恶意网站。请大家放心这不是feature而是bug,也不是你的电脑/手机中病毒了。这种恶意跳转都是因为我们合作的第三方广告平台被恶意入侵导致的。广告平台被恶意入侵是时不时就会发生的事情,没有办法从根源上避免。一旦遇到这种情况,我们可以迅速给广告平台汇报,他们会想办法努力干掉这些恶意跳转。这个帖子就是汇报这个问题的地方。 请大家汇报数据点时带上这些信息: 跳转后的截图 跳转后的URL

--- 第 271 楼来自 令狐冲 的回复 (2026-07-06 20:09:24 PDT) ---

我也是这样,换了个电脑也这样,我还以为中病毒了

--- 第 272 楼来自 1qaz2wsx 的回复 (2026-07-06 21:10:20 PDT) ---

靠 我还一直以为是泥潭创收手段,原来泥潭跟我之前上的小黄网不一样啊

--- 第 273 楼来自 薅小羊毛 的回复 (2026-07-06 21:46:21 PDT) ---

我的也是这样。上周发生了好几次。苹果手机。