La pubblicità appare improvvisamente in cima a quasi ogni pagina

Da stamattina stanno comparendo strani annunci in cima a molte pagine che apro in webbrowser (vedi screenshot alla fine). Succede in qualsiasi browser (testato FF, IE e Chrome), su una delle tre macchine della nostra famiglia, anche su iPhone (non importa se connesso su Wi-Fi o rete cellulare [non vero alla fine, vedi la mia risposta ]) . Anche su sistemi Debian eseguiti in VMWare.

A volte gli annunci non vengono visualizzati in Firefox, ma appaiono in IE. A volte non appaiono su iPhone quando sono connessi su cellulare, ma appaiono quando sono connessi su Wi-Fi. Ma soprattutto appaiono in ogni caso. In alcune pagine il problema danneggia il rendering di una pagina.

La pubblicità è identica in ogni caso. Gli stessi banner ad albero, ad eccezione del banner Amazon che modifica il prodotto. Su iPhone il banner Amazon non viene caricato. In alcune pagine l'insieme di annunci si ripete due o più volte.

Alcune delle pagine con cui si sta verificando il problema:

superuser.com (qualsiasi sito SE)
instagram.com
pinterest.com
ask.com (gli annunci vengono visualizzati due volte)
bbc.com

Non accade su:

google.com
linkedin.com
youtube.com
cnn.com
microsoft.com

(sebbene gli elenchi possano essere influenzati dal componente casuale del problema).

Gli annunci sono resi da codice HTML iniettato subito dopo un <body>tag di apertura . Il codice non è presente nell'HTML stesso. Ma posso vederlo, quando si ispeziona la pagina negli strumenti di sviluppo del browser (ad esempio, lo strumento Inspector in Firefox), quindi è probabilmente generato da alcuni JavaScript. Il codice è allegato alla fine di questo post. Una volta eseguito il rendering della pagina, il browser inizia a connettersi a 85.25.138.211.

Non ho plug-in indesiderati nei browser. Né ho identificato alcun adware / malware sui miei computer. Non me l'aspettavo nemmeno, poiché il problema si verifica anche su iPhone.

Mi sembra di essere stato violato. Ma non riesco a immaginare come funzionerebbe un simile hack, poiché influenza diversi sistemi (Windows, iOS, Debian). Ho considerato di aver hackerato il router, ma non sembra probabile che il problema persista anche quando disconnetto l'iPhone dal Wi-Fi. Ho considerato che qualcuno ha sfruttato alcuni bug nella libreria JavaScript condivisa da tutte le pagine interessate. Ma in quel caso il problema sarebbe diffuso, non solo accadendo a me. Ma non sono stato in grado di trovare alcuna segnalazione di tale problema da parte di nessun altro [non vero alla fine, vedi la mia risposta ].

Qualcuno ha idea, perché questo sta accadendo?

inserisci qui la descrizione dell'immagine

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

— Martin Prikryl
fonte

Risposte:

Dopo molti test, mi sono reso conto che il problema si sta verificando sulla rete cellulare solo a causa della memorizzazione nella cache. Dopo aver svuotato una cache ( Cancella cronologia e dati dei siti Web ) e aggiornato, il problema è scomparso. E riapparve solo dopo essersi ricollegato al Wi-Fi.

Ciò ha reso evidente che il problema è dovuto a un router compromesso, Edimax AR-7265WNB. Il ripristino del router alle impostazioni di fabbrica e la riconfigurazione hanno risolto il problema.

Non ho trovato una versione più recente del firmware del router rispetto a quella che ho (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Anche se ho scoperto che il firewall sul router era spento. In realtà il router si è ripristinato da solo alcune settimane fa. Durante la riconfigurazione, probabilmente ho dimenticato di abilitare il firewall (in realtà mi aspetto che il firewall sia attivo per impostazione predefinita).

Il problema sembra ormai mondiale (altre segnalazioni qui e qui , altre cancellate), contrariamente a quanto affermato nella domanda. Ciò suggerirebbe lo sfruttamento remoto di alcune vulnerabilità del router (supportato dal problema del firewall), piuttosto che l'hacking locale nel Wi-Fi. Gli altri riportano diversi tipi di router ( D-Link DSL-2600U , TP-Link), quindi il problema non è specifico per Edimax.

Gli altri rapporti menzionano che sono state modificate le impostazioni DNS o proxy. Non ho verificato questo prima di ripristinare il mio router. Ma è possibile che il mio router sia stato modificato in questo modo, poiché il firewall era spento. Inoltre spiega l'iniezione di codice in qualsiasi pagina senza la necessità di alcun exploit specifico del router. Quindi l'aggressore può eventualmente cercare su Internet eventuali router non sicuri e semplicemente li configura in modo da puntare al proxy dell'attaccante.

— Martin Prikryl
fonte

Quale router? Hai aggiornato il firmware alla versione più recente?

— K7AAY,

Ho notato circa 2 giorni fa che stavo ottenendo gli stessi identici annunci su più dispositivi (laptop, smartphone Android e Nexus 7). Quando svuoto tutte le cache del browser e mi connetto a una rete cellulare, gli annunci si interrompono, ma una volta che mi collego alla rete Wi-Fi, tornano.

Ho finito per passare il server DNS su tutte le mie connessioni a 8.8.8.8 di google e gli annunci hanno smesso di tornare su tutti i dispositivi.

Quindi la mia ipotesi migliore è che il router o il server DNS dell'ISP siano compromessi.

modifica: Come posso rimuovere gli annunci indesiderati dai siti?

— Diogo
fonte

Quale router stai usando?

— Martin Prikryl,

Molto probabilmente hai qualche spyware (molto facile da scaricare accidentalmente, ma di solito abbastanza facile da rimuovere, se sai cosa fare).

Dovrai scaricare un programma di disinstallazione più potente, la disinstallazione di Windows non lo rimuoverà.

Scarica IOBitUNinstaller . Ora dovrai esaminare tutti i file (su iobit) e identificare quale programma non riconosci o sembri "sospetto", una rapida ricerca su Google (se non sei sicuro) rivelerà se il suo malware.

Puoi anche selezionare la disinstallazione batch (opzione in alto a destra su iobit), che ti consente di selezionare più programmi da disinstallare - e, naturalmente, lascia che esegua una scansione profonda e rimuova tutto ciò che trova.

— benscabbia
fonte

Grazie per la tua risposta. Ciò spiegherebbe il problema che sta accadendo su iPhone e Debian?

— Martin Prikryl,

No. Se sta accadendo sul tuo iPhone e sistema Debian, il tuo router (in particolare le impostazioni DNS del tuo router) potrebbe essere stato compromesso. Eseguire un ripristino delle impostazioni di fabbrica. E quando lo installi nuovamente, IMPOSTA UNA PASSWORD SU IT in modo che il software non autorizzato sul tuo computer non possa riconfigurarlo automaticamente.

— Jeremy Visser,

@JeremyVisser Ma succede anche se disconnetto iPhone dal Wi-Fi.

— Martin Prikryl,

Non è necessario il software IOBIT per rimuovere qualcosa del genere, i normali programmi di annuncio / rimozione faranno esattamente ciò che IOBITUninstaller fa nonostante le sue affermazioni altrimenti. IOBIT è l'olio di serpente non fidarti.

— Ramhound,

@MartinPrikryl Non sono sicuro di come sarebbe arrivato sul tuo Iphone, tranne se hai effettuato l'accesso su tutti i dispositivi e stai usando Chrome o qualcosa del genere. Ma prova la correzione sopra, (anche su Chrome, installa adblock e vedi se questo risolve il problema. In caso contrario, continua a controllare di riconoscere TUTTO il software sul tuo PC e, se ancora non hai fortuna, installa ed esegui (versione gratuita) di Malwarebytes , tra i due, speriamo di trovare il problema

— benscabbia,