今天在檢查網站的時候,從 developer tools 的 network 發現有一個 script 會連到 conoret.com,過很久連不上才會 timeout。
一開始以為裝到奇怪的 open source,所以將 source code 根據關鍵字查了一遍都沒有。想說可能是儲存在資料庫裡,可是 dump 全部資料庫也沒看到這關鍵字。google 了一下沒有太多討論,但用 whois 查發現是連到 .ru,而且該網域是 2022 年才註冊的,這就需要緊張了。
開始做各種實驗,比如說把套件一個一個拔掉測試,沒效果。把佈景主題換掉也沒效果,隨便建立一個頁面發現還是會連到 conoret.com。感覺是主機被駭了或是 apache 的 module 有被感染了。
因為好幾個網域都有這樣的情況,這當然超緊張的,難道我固若金湯(?)的安全設定都被破解了嗎? 而且我檢查不出來是怎麼進來的,也不知道這東西在哪裡,真沮喪...
但換了一個瀏覽器測試,發現連線不見了。哇賽那就很明顯了嘛 就是有壞壞的 extension 偷連出去。 起初懷疑最有可能就是 VPN,這種我當時沒特別檢查就裝了兩個,先移掉,沒效果。再來就要懷疑各種 downloader,例如 哔哩哔哩bilibili影片下載工具,也不是。
最後兇手找到了,是 SaveFrom Helper,這是 youtube 下載器,我蠻常用的。但最常用的還是網頁板 ssyoutube。果然移掉就正常了。耶
