10 月 21 日更新：奶爸做了一个浏览器扩展来检查已安装的扩展被 Chrome Web Store 下架的情况，并做出提醒，点此 安装

早上看「哪吒监控」的 英文文档 更新，看到了一个新的缩写「O&M」，然后准备搜索验证一下这个缩写是否是「Operations and Maintenance」的含义，结果地址栏搜索之后跳转到了一个 _trovi.com 开头的链接上面。因为奶爸的路由器上面有装 Adguard Home，该域名的 DNS 被拦截，网站没能打开，所以奶爸才意识到这个链接不对，奶爸的浏览器或电脑 被入侵了。

浏览器上面装着钱包，必须妥善解决。

首先是排除了路由上的 DNS 问题，使用手机搜索了一下发现没有跳转。

然后排除了电脑问题，使用 Safari 进行搜索没有跳转。

那么问题就定位到 Chrome 上面了，大概率就是某个扩展作恶了，试了试搜索其他关键词还会跳转到 systemredirecting.com 再跳回搜索引擎的搜索结果页，因为昨天有更新几个 uBlock Origin 规则，所以奶爸第一时间就去检查了一下规则里面有没有 trovi / systemredirecting 相关的代码，结果没有，然后发现 uBO 有一个 log 功能，打开可以看到插件对网页做出的改动的记录。

经过简单的分析，搜索引擎的域名是在插入了 onlinesly.com 的脚本之后被修改的，

如果是 uBO 自身嵌入的，会有一个规则的信息，但是这里没有，目前我们还没法知道是哪个插件嵌入的该脚本。接下来就是经验了 😢 因为之前做过浏览器插件，对插件 URL 比较敏感，这个 eid 应该是浏览器插件的 ID。

原来是前段时间安装的 Slick color picker 一个网页拾色器，估计很多前端工程师都会用……一些个人开发的扩展能不用还是不要用啊，说不定哪天就做恶了，谁能想到一个网页拾色器会作恶。该扩展于 19 号被移除，但是 Chrome 安全扫描没有扫出结果，浏览器也没有相关的移除提醒。

此扩展影响 4w + 人（不含离线安装），卸载，恢复正常。