Реклама внезапно появляется поверх почти каждой страницы

С сегодняшнего утра странная реклама появляется поверх многих страниц, которые я открываю в webbrowser (см. Скриншот в конце). Это происходит в любом браузере (протестированном FF, IE и Chrome) на любой из трех машин в нашем доме, даже на iPhone (независимо от того, подключен ли он к Wi-Fi или сотовой сети [не соответствует действительности в конце, см. Мой ответ ]) , Даже в системе Debian в VMWare.

Иногда объявления не отображаются в Firefox, но появляются в IE. Иногда они не появляются на iPhone при подключении по сотовой сети, но появляются при подключении к Wi-Fi. Но в основном они появляются в любом случае. На некоторых страницах проблема искажает рендеринг страниц.

Реклама в каждом случае одинакова. Те же древовидные баннеры, за исключением баннера Amazon, изменяющего продукт. На iPhone баннер Amazon не загружается. На некоторых страницах набор объявлений повторяется два или более раз.

На некоторых страницах проблема связана с:

  • Superuser.com (любой сайт SE)
  • instagram.com
  • pinterest.com
  • Ask.com (объявления появляются дважды)
  • bbc.com

Не происходит:

  • google.com
  • linkedin.com
  • youtube.com
  • cnn.com
  • microsoft.com

(Хотя на список может влиять случайная составляющая проблемы).

Объявления отображаются с помощью HTML-кода, введенного сразу после открытия <body> . Код отсутствует в самом HTML. Но я могу видеть, когда просматриваю страницу в инструментах браузера dev (например, инструмент Inspector в Firefox), поэтому он, вероятно, генерируется некоторым JavaScript. Код прилагается в конце этого сообщения. Как только страница отобразит браузер, он начнет подключение к 85.25.138.211.

У меня нет никаких нежелательных плагинов в браузере. Я также не обнаружил рекламные / вредоносные программы на своих машинах. Я даже не ожидал этого, так как проблема возникает и на iPhone.

Мне кажется, что меня взломали. Но я не могу представить, как будет работать такой хак, поскольку он влияет на разные системы (Windows, iOS, Debian). Я считал, что маршрутизатор взломан, но это также кажется маловероятным, поскольку проблема сохраняется, даже когда я отключу iPhone от Wi-Fi. Я считал, что кто-то использовал некоторую ошибку в библиотеке JavaScript, которая затрагивает все затронутые страницы. Но в этом случае вопрос будет широко распространен, а не только со мной. Но я не смог найти какой-либо отчет о такой проблеме кем бы то ни было [не верным в конце, см. Мой ответ ].

Кто-нибудь знает, почему это происходит?

Введите описание изображения здесь

 <body class="user-page new-topbar" lang=""> <div align="center"> <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659"> <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img> </a> </div> <div align="center"> <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE"> #document <html> <head></head> <body> <div id="wrap"> <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"> <!-- Tags used by MSIE Rendering engine --> <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param> <param value="high" name="quality"></param> <param value="transparent" name="wmode"></param> <param value="#FFFFFF" name="bgcolor"></param> <param value="all" name="allowNetworking"></param> <param value="always" name="allowScriptAccess"></param> <!-- Tags used by Mozilla Rendering engine --> <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed> </object> </div> <script></script> </body> </html> <!-- autogen flash template V 0.1311154052 --> </iframe> </div> <div align="center"> <!-- default --> <div id="ca-block-2228" class="ca-block"></div> </div> 

После многих тестов я понял, что проблема происходит в сотовой сети только из-за кеширования. После очистки кеша ( Очистить историю и данные веб-сайта ) и обновления, проблема исчезла. И он появился только после подключения к Wi-Fi.

Это сделало очевидным, что проблема связана с уязвимым маршрутизатором Edimax AR-7265WNB. Сброс маршрутизатора обратно к заводским настройкам и повторная настройка устраняют проблему.

Я не нашел более новую версию прошивки маршрутизатора, чем тот, который у меня есть (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Хотя я обнаружил, что брандмауэр на маршрутизаторе отключен. На самом деле маршрутизатор перезагружается несколько недель назад. При переконфигурировании я, вероятно, забыл включить брандмауэр (на самом деле я ожидал бы, что брандмауэр будет включен по умолчанию).

Сейчас проблема кажется всемирной (другие сообщения здесь и здесь , некоторые другие были удалены), вопреки моему утверждению в вопросе. Это предполагает дистанционное использование некоторой уязвимости маршрутизатора (поддерживаемой проблемой брандмауэра), а не локальный взлом в Wi-Fi. Другие сообщают о различных типах маршрутизаторов ( D-Link DSL-2600U , TP-Link), поэтому проблема не относится к Edimax.

В других отчетах упоминается, что настройки DNS или прокси были изменены. Я не проверял это до сброса моего маршрутизатора. Но возможно, что мой маршрутизатор был изменен таким образом, поскольку брандмауэр отключен. Также он объясняет, как вводить код на любую страницу без необходимости использования какого-либо конкретного эксплойта. Таким образом, злоумышленник может сканировать Интернет для любых незащищенных маршрутизаторов и просто настраивает их на прокси-сервер злоумышленника.

Я заметил, что 2 дня назад я получал одни и те же объявления на нескольких устройствах (ноутбук, Android-смартфон и Nexus 7). Когда я очищаю все кеши браузера и подключаюсь к сотовой сети, реклама останавливается, но как только я подключаюсь к Wi-Fi, они возвращаются.

Я закончил переключение DNS-сервера на все мои подключения к 8.8.8.8 Google, и реклама перестала возвращаться на все устройства.

Таким образом, мой маршрутизатор или DNS-сервер ISP скомпрометированы, это мое лучшее предположение.

Edit: То же, что и как удалить нежелательные объявления поверх сайтов?

Скорее всего, у вас есть шпионское ПО (очень легко случайно загрузить, но обычно довольно легко удалить, если вы знаете, что делать).

Вам нужно будет загрузить более мощный unistaller, удаление Windows не удалит его.

Загрузите программу IOBitUNinstaller . Теперь вам нужно будет пройти через каждый файл (на iobit) и определить, какую программу вы не узнаете или не выглядите «рыбной», быстрый поиск в Google (если не уверен) покажет, является ли его вредоносное ПО.

Вы также можете выбрать пакетную деинсталляцию (верхний правый вариант на iobit), который может позволить вам выбрать несколько программ для удаления – и, конечно же, позволить делать глубокое сканирование и удалять все, что он находит.

  • Обнаружение подключения к Интернету отключено?
  • Как разобрать 20-значный номер с помощью JavaScript и jQuery
  • Как исправить Array indexOf () в JavaScript для браузеров Internet Explorer
  • Как вставить элемент после другого элемента в JavaScript без использования библиотеки?
  • Как вы используете WGET для зеркального отображения уровня сайта 1, восстановления JS, ресурсов CSS, включая изображения CSS?
  • Как использовать переменную для ключа в литерале объекта JavaScript?
  • Программно перемещаться с помощью реактивного маршрутизатора
  • Запретить навигацию веб-страницы с помощью JavaScript
  • AJAX обещает использовать массив
  • Как работает подкачка в API-интерфейсе facebook javascript?
  • Изменение флажка jQuery и событие click
  • Давайте будем гением компьютера.