Reklama nagle pojawia się na górze prawie każdej strony

Ponieważ dziś rano na wielu stronach pojawia się dziwna reklama, którą otwieram w przeglądarce (patrz zrzut ekranu na końcu). Dzieje się to w dowolnej przeglądarce (testowane FF, IE i Chrome), na dowolnej z trzech maszyn w naszym domu, nawet na iPhonie (bez względu na to, czy jest podłączony do Wi-Fi czy sieci komórkowej [w końcu prawda, zobacz moją odpowiedź ]) . Nawet w systemie Debian uruchomionym w VMWare.

Czasami reklamy nie pojawiają się w Firefoksie, ale pojawiają się w IE. Czasami nie pojawiają się na telefonie iPhone po połączeniu z siecią komórkową, ale pojawiają się po połączeniu przez Wi-Fi. Ale przede wszystkim pojawiają się w każdym przypadku. Na niektórych stronach problem powoduje wyświetlenie strony.

Reklama jest w każdym przypadku identyczna. Te same banery drzewne, z wyjątkiem banera Amazon zmieniającego produkt. Na iPhonie baner Amazon nie ładuje się. Na niektórych stronach zestaw reklam powtarza się dwa lub więcej razy.

Niektóre strony, z którymi występuje problem:

• superuser.com (dowolna strona SE)
• instagram.com
• pinterest.com
• ask.com (reklamy pojawiają się dwa razy)
• bbc.com

Nie dzieje się w dniu:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(chociaż na listy może mieć wpływ losowy składnik problemu).

Reklamy są renderowane za pomocą kodu HTML wstrzykiwanego tuż po <body>tagu otwierającym . Kod nie występuje w samym kodzie HTML. Widzę to jednak podczas przeglądania strony w narzędziach programistycznych przeglądarki (np. Narzędzie Inspector w przeglądarce Firefox), więc prawdopodobnie jest ona generowana przez niektóre skrypty JavaScript. Kod znajduje się na końcu tego postu. Po renderowaniu strony przeglądarka zaczyna łączyć się z 85.25.138.211.

Nie mam żadnych niechcianych wtyczek w przeglądarkach. Nie zidentyfikowałem też adware / malware na moich komputerach. Nawet się nie spodziewałem, ponieważ problem występuje również na iPhonie.

Mam wrażenie, że zostałem zhakowany. Ale nie mogę sobie wyobrazić, jak taki hack mógłby działać, ponieważ wpływa na różne systemy (Windows, iOS, Debian). Zastanawiałem się nad zhackowaniem routera, ale nie wydaje się to prawdopodobne, ponieważ problem występuje nawet po odłączeniu iPhone'a od Wi-Fi. Uznałem, że ktoś wykorzystał błąd w bibliotece JavaScript, który współużytkują wszystkie strony, których dotyczy problem. Ale w takim przypadku problem byłby powszechny, a nie tylko mi się przytrafił. Ale nie byłem w stanie znaleźć żadnego zgłoszenia takiego problemu przez nikogo innego [nieprawda w końcu, patrz moja odpowiedź ].

Czy ktoś ma pojęcie, dlaczego tak się dzieje?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Po wielu testach zdałem sobie sprawę, że problem występuje w sieci komórkowej tylko z powodu buforowania. Po wyczyszczeniu pamięci podręcznej ( Wyczyść historię i dane witryny ) i odświeżeniu problem zniknął. I pojawiło się dopiero po ponownym połączeniu z Wi-Fi.

Dzięki temu stało się oczywiste, że przyczyną problemu jest zainfekowany router Edimax AR-7265WNB. Zresetowanie routera do ustawień fabrycznych i ponowna konfiguracja rozwiązały problem.

Nie znalazłem nowszej wersji oprogramowania routera niż mam (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Chociaż stwierdziłem, że zapora sieciowa na routerze była wyłączona. W rzeczywistości router zresetował się kilka tygodni temu. Podczas jego rekonfiguracji prawdopodobnie zapomniałem włączyć zaporę ogniową (w rzeczywistości spodziewałbym się, że zapora domyślnie jest włączona).

Problem wydaje się teraz na całym świecie (inne raporty tu i tutaj , niektóre inne zostały usunięte), w przeciwieństwie do mojego twierdzenia w pytaniu. Sugerowałoby to zdalne wykorzystanie niektórych luk w routerze (obsługiwanych przez problem zapory ogniowej), a nie lokalne włamanie do Wi-Fi. Inni zgłaszają różne typy routerów ( D-Link DSL-2600U , TP-Link), więc problem nie dotyczy Edimax.

Inne raporty wspominają, że ustawienia DNS lub proxy zostały zmodyfikowane. Nie sprawdziłem tego przed zresetowaniem routera. Ale możliwe jest, że mój router został zmodyfikowany w ten sposób, ponieważ zapora była wyłączona. Wyjaśnia także wstrzykiwanie kodu na dowolną stronę bez potrzeby jakiegokolwiek wykorzystania specyficznego dla routera. Dlatego osoba atakująca prawdopodobnie skanuje Internet w poszukiwaniu niezabezpieczonych routerów i po prostu konfiguruje je tak, aby wskazywały serwer proxy osoby atakującej.

Zauważyłem około 2 dni temu, że otrzymuję dokładnie takie same reklamy na wielu urządzeniach (laptopie, smartfonie z Androidem i Nexusie 7). Po wyczyszczeniu wszystkich pamięci podręcznych przeglądarki i połączeniu się z siecią komórkową reklamy przestają działać, ale po podłączeniu do Wi-Fi wracają.

Skończyłem przełączanie serwera DNS na wszystkich moich połączeniach na Google 8.8.8.8 i reklamy przestały wracać na każdym urządzeniu.

Więc moim zdaniem router lub serwer DNS dostawcy ISP są zagrożone.

edycja: Taki sam jak Jak usunąć niechciane reklamy na stronach?

Najprawdopodobniej masz jakieś oprogramowanie szpiegujące (bardzo łatwe do przypadkowego pobrania, ale zwykle dość łatwe do usunięcia, jeśli wiesz, co robić).

Musisz pobrać bardziej wydajny unistaller, odinstalowanie systemu Windows go nie usunie.

Pobierz IOBitUNinstaller . Teraz będziesz musiał przejrzeć każdy plik (na iobit) i zidentyfikować program, którego nie rozpoznajesz lub wydajesz się „podejrzany”, szybkie wyszukiwanie w Google (jeśli nie jesteś pewien) ujawni, czy jest to złośliwe oprogramowanie.

Możesz także wybrać opcję dezinstalacji wsadowej (opcja w prawym górnym rogu iobit), co pozwoli ci wybrać wiele programów do odinstalowania - i oczywiście pozwoli ci przeprowadzić głębokie skanowanie i usunąć wszystko, co znajdzie.