Реклама раптово з’являється вгорі майже на кожній сторінці

Оскільки цього ранку дивна реклама з’являється на багатьох сторінках, які я відкриваю в веб-браузері (див. Скріншот в кінці). Це відбувається в будь-якому веб-переглядачі (тестовані FF, IE та Chrome), на будь-якій з трьох машин у нашому домогосподарстві, навіть на iPhone (незалежно від того, підключений він через Wi-Fi або стільникову мережу (не вірно, зрештою, дивіться мою відповідь )) . Навіть у системі Debian запускаються у VMWare.

Іноді оголошення не відображаються у Firefox, але з’являються в IE. Іноді вони не з’являються на iPhone при підключенні до стільникового зв'язку, але з’являються під час підключення через Wi-Fi. Але в основному вони з’являються в будь-якому випадку. На деяких сторінках випуск псує візуалізацію сторінки.

Реклама у всіх випадках однакова. Ті самі банери дерев, за винятком банера Amazon, що змінює продукт. На iPhone банер Amazon не завантажується. На деяких сторінках набір оголошень повторюється два чи більше разів.

Деякі сторінки, з якими виникає проблема:

• superuser.com (будь-який веб-сайт SE)
• instagram.com
• pinterest.com
• ask.com (оголошення з’являються двічі)
• bbc.com

Не відбувається на:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(хоча на списки може впливати випадкова складова проблеми).

Оголошення відображаються за допомогою HTML-коду, введеного відразу після вступного <body>тегу. Код відсутній у самому HTML. Але я бачу це під час огляду сторінки в інструментах для розробників браузера (наприклад, інструмент Inspector у Firefox), тому він, ймовірно, генерується деяким JavaScript. Код додається в кінці цієї публікації. Після відображення сторінки браузер починає підключатися до 85.25.138.211.

У мене немає жодних небажаних плагінів у веб-переглядачах. Я також не визначав жодного рекламного та зловмисного програмного забезпечення на своїй машині. Я навіть не очікував цього, оскільки проблема виникає і на iPhone.

Таке відчуття, що мене зламали. Але я не уявляю, як би такий хак працював, оскільки він впливає на різні системи (Windows, iOS, Debian). Я вважав, що маршрутизатор зламав, але це також не видається ймовірним, оскільки проблема не зникає, навіть коли я відключаю iPhone від Wi-Fi. Я вважав, що хтось експлуатував помилку в бібліотеці JavaScript, якою поділяються всі постраждалі сторінки. Але в цьому випадку питання було б широко розповсюдженим, а не зі мною. Але мені не вдалося знайти жодного повідомлення про подібну проблему ким-небудь іншим [не вірно, врешті-решт, дивіться мою відповідь ].

Хтось має уявлення, чому це відбувається?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Після багатьох тестів я зрозумів, що проблема відбувається в стільниковій мережі лише через кешування. Після очищення кеша ( Очистити історію та дані веб-сайту ) та оновлення проблема усунулася. І знову з’явилося лише після підключення до Wi-Fi.

Це дало зрозуміти, що проблема пов’язана з компрометованим маршрутизатором Edimax AR-7265WNB. Відновлення маршрутизатора до заводських налаштувань та повторна конфігурація виправили проблему.

Я не знайшов новішої версії мікропрограмного забезпечення маршрутизатора, ніж у мене (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Хоча я виявив, що брандмауер на маршрутизаторі відключений. Насправді роутер скинув себе через кілька тижнів. Переконфігуруючи його, я, мабуть, забув увімкнути брандмауер (насправді я б очікував, що брандмауер буде ввімкнено за замовчуванням).

Проблема здається в усьому світі (інші звіти тут і тут , деякі інші були видалені), всупереч моїй заяві в питанні. Це може запропонувати віддалену експлуатацію деякої вразливості маршрутизатора (підтримується проблемою брандмауера), а не локального злому в Wi-Fi. Інші повідомляють про різні маршрутизатори ( D-Link DSL-2600U , TP-Link), тому проблема не стосується Edimax.

В інших звітах згадується, що налаштування DNS або проксі-сервера були змінені. Я не перевіряв цього перед скиданням маршрутизатора. Але можливо, що мій маршрутизатор був змінений таким чином, оскільки брандмауер був відключений. Також він пояснює введення коду на будь-яку сторінку без необхідності будь-якого використання маршрутизатора. Таким чином, зловмисник, можливо, сканує Інтернет на незахищені маршрутизатори та просто налаштовує їх, щоб вказати на проксі-атаки.

Я помітив, що 2 дні тому я отримував абсолютно однакові оголошення на різних пристроях (ноутбук, андроїд смартфон і Nexus 7). Коли я очищаю всі кеші браузера та підключаюсь до стільникової мережі, оголошення припиняються, але як тільки я підключаюсь до wi-fi, вони повертаються.

Я закінчив перемикати сервер DNS на всіх своїх підключеннях до 8.8.8.8 google, і оголошення перестали повертатися на всіх пристроях.

Отже, або маршрутизатор, або DNS-сервер провайдера порушений - це моя найкраща здогадка.

редагувати: Те саме, як я можу видалити небажану рекламу на вершині сайтів?

Ви, швидше за все, отримали шпигунське програмне забезпечення (його дуже легко випадково завантажити, але зазвичай його досить легко видалити, якщо ви знаєте, що робити).

Вам потрібно буде завантажити більш потужний unistaller, видалення Windows не видалить його.

Завантажте IOBitUNinstaller . Тепер вам доведеться пройти кожен файл (на iobit) і визначити, яку програму ви не розпізнаєте чи здаєтеся "рибною", швидкий пошук в Google (якщо не впевнений) виявить, чи є її зловмисне програмне забезпечення.

Ви також можете вибрати пакетне видалення (правий верхній варіант на iobit), який дозволяє вам вибрати кілька програм для видалення - і, звичайно, дозволити глибокому скануванню та видаленню всього, що знайде.