Anúncio que aparece de repente no topo de quase todas as páginas

Navegue suas respostas
8

Desde essa manhã, um anúncio estranho está aparecendo no topo de muitas páginas que abro no navegador (veja a captura de tela no final). Está acontecendo em qualquer navegador (testado FF, IE e Chrome), em qualquer uma das três máquinas em nossa casa, mesmo no iPhone (não importa se conectado em rede Wi-Fi ou celular [não é verdade no final, veja meu resposta ]). Mesmo no sistema Debian executado no VMWare.

Às vezes, os anúncios não aparecem no Firefox, mas aparecem no IE. Às vezes, eles não aparecem no iPhone quando conectados no celular, mas aparecem quando conectados ao Wi-Fi. Mas principalmente eles aparecem em qualquer caso. Em algumas páginas, o problema corrompe a renderização de uma página.

O anúncio é idêntico em todos os casos. Os mesmos banners de árvore, exceto para o banner da Amazon mudando o produto. No iPhone, o banner da Amazon não é carregado. Em algumas páginas, o conjunto de anúncios é repetido duas ou mais vezes.

Algumas das páginas em que o problema está acontecendo:

  • superuser.com (qualquer site da SE)
  • instagram.com
  • pinterest.com
  • ask.com (os anúncios aparecem duas vezes)
  • bbc.com

Não está acontecendo em:

  • google.com
  • linkedin.com
  • youtube.com
  • cnn.com
  • microsoft.com

(embora as listas possam ser afetadas por um componente aleatório do problema).

Os anúncios são processados por código HTML injetado logo após a abertura de uma tag <body> . O código não está presente no próprio HTML. Mas eu posso ver isso, ao inspecionar a página em ferramentas de desenvolvimento de navegador (por exemplo, a ferramenta Inspector no Firefox), então é provável que seja gerada por algum JavaScript. O código está anexado no final deste post. Quando a página renderiza, o navegador começa a se conectar a 85.25.138.211.

Eu não tenho nenhum plug-in indesejado no (s) navegador (es). Nem identifiquei nenhum adware / malware na (s) minha (s) máquina (s). Eu nem esperava isso, já que o problema também ocorre no iPhone.

Parece que eu fui hackeado. Mas eu não posso imaginar como tal hack iria funcionar, já que afeta diferentes sistemas (Windows, iOS, Debian). Eu considerei ter hackeado o roteador, mas também não parece provável, já que o problema persiste mesmo quando eu desconecto o iPhone do Wi-Fi. Eu considerei que alguém explorou algum bug na biblioteca JavaScript que todas as páginas afetadas compartilham. Mas, nesse caso, a questão seria generalizada, não apenas acontecendo comigo. Mas eu não consegui encontrar nenhum relato de tal problema por mais ninguém [não é verdade no final, veja minha resposta ] .

Alguém tem alguma ideia, por que isso está acontecendo?

<body class="user-page new-topbar" lang=""> <div align="center"> <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659"> <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img></a></div><divalign="center"> <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">#document<html><head></head><body><divid="wrap"> <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"> <!-- Tags used by MSIE Rendering engine --> <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param> <param value="high" name="quality"></param> <param value="transparent" name="wmode"></param> <param value="#FFFFFF" name="bgcolor"></param> <param value="all" name="allowNetworking"></param> <param value="always" name="allowScriptAccess"></param> <!-- Tags used by Mozilla Rendering engine --> <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed></object></div><script></script></body></html><!--autogenflashtemplateV0.1311154052--></iframe></div><divalign="center"> <!-- default --> <div id="ca-block-2228" class="ca-block"></div> </div>     
por Martin Prikryl 26.10.2014 / 22:15

3 respostas

11

Depois de muitos testes, percebi que o problema está acontecendo na rede celular apenas por causa do cache. Depois de limpar um cache ( Limpar histórico e dados do site ) e atualizar, o problema desapareceu. E reapareceu somente depois de se conectar de volta ao Wi-Fi.

Isso tornou óbvio que o problema é devido a um roteador comprometido, o Edimax AR-7265WNB. Redefinir o roteador novamente para as configurações de fábrica e reconfigurar o problema.

Não encontrei uma versão mais recente do firmware do roteador que a que tenho (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Embora eu tenha descoberto que o firewall do roteador estava desligado. Na verdade, o roteador reinicializou algumas semanas atrás. Ao reconfigurá-lo, provavelmente esqueci de ativar o firewall (na verdade, esperaria que o firewall estivesse ativado por padrão).

O problema parece ser mundial agora (outros relatórios aqui e aqui , algumas outras foram excluídas), ao contrário do que eu afirmei na pergunta. Isso sugeriria a exploração remota de alguma vulnerabilidade de roteador (suportada pelo problema de firewall), em vez de invasão local no Wi-Fi. Os outros reportam diferentes tipos de roteadores ( D-Link DSL-2600U , TP-Link), de modo que questão não é específica para o Edimax.

Os outros relatórios mencionam que as configurações de DNS ou proxy foram modificadas. Eu não verifiquei isso antes de redefinir meu roteador. Mas é possível que meu roteador tenha sido modificado dessa maneira, pois o firewall estava desligado. Também explica a injeção de código em qualquer página sem a necessidade de qualquer exploração específica do roteador. Assim, o atacante possivelmente verifica a Internet em busca de roteadores não seguros e simplesmente os configura para apontar para o proxy do invasor.

    
por 26.10.2014 / 23:22
1

Eu percebi há cerca de dois dias que eu estava recebendo exatamente os mesmos anúncios em vários dispositivos (laptop, smartphone Android e Nexus 7). Quando eu limpo todos os caches do navegador e me conecto a uma rede celular, os anúncios param, mas quando eu me conecto ao wi-fi, eles voltam.

Acabei de mudar o servidor DNS em todas as minhas conexões para o google 8.8.8.8 e os anúncios pararam de voltar em todos os dispositivos.

Portanto, o roteador ou o servidor DNS do ISP está comprometido é o meu melhor palpite.

edit: O mesmo que Como posso remover anúncios indesejados de sites?

    
por 28.10.2014 / 23:14
0

Provavelmente você tem algum spyware (muito fácil de baixar acidentalmente, mas geralmente bastante fácil de remover, se souber o que fazer).

Você precisará baixar um unistaller mais poderoso, a desinstalação do Windows não o removerá.

Faça o download do IOBitUNinstaller . Agora você terá que passar por todos os arquivos (no iobit) e identificar o programa que você não reconhece ou parecer "suspeito", uma rápida pesquisa no google (se não tiver certeza) irá revelar se o seu malware.

Você também pode selecionar a desinstalação em lote (opção superior direita no iobit), que permite selecionar vários programas para serem desinstalados - e, claro, permitir uma verificação profunda e remover tudo o que encontrar.

    
por 26.10.2014 / 22:22

Tags

O que exatamente acontece quando você usa o comando 'copy / b'? Como desabilitar a ligação de atalho Alt-f da tecla de acesso ao menu de arquivos em Cinnamon Mint 13 (Maya)?