Quảng cáo đột nhiên xuất hiện trên đầu trang của hầu hết mọi trang

Vì sáng nay quảng cáo lạ xuất hiện trên đầu trang của nhiều trang tôi mở trong webbrowser (xem ảnh chụp màn hình ở cuối). Điều đó xảy ra trong bất kỳ trình duyệt nào (đã thử nghiệm FF, IE và Chrome), trên bất kỳ máy nào trong ba máy trong gia đình của chúng tôi, ngay cả trên iPhone (không có vấn đề gì nếu được kết nối trên Wi-Fi hoặc mạng di động [cuối cùng, không thấy câu trả lời của tôi ]) . Ngay cả trên hệ thống Debian cũng chạy trong VMWare.

Đôi khi quảng cáo không xuất hiện trong Firefox, nhưng xuất hiện trong IE. Đôi khi, chúng không xuất hiện trên iPhone khi được kết nối trên di động, nhưng xuất hiện khi được kết nối trên Wi-Fi. Nhưng chủ yếu là chúng xuất hiện trong mọi trường hợp. Trên một số trang, sự cố làm hỏng kết xuất trang.

Quảng cáo là giống hệt nhau trong mọi trường hợp. Các biểu ngữ cây giống nhau, ngoại trừ biểu ngữ Amazon thay đổi sản phẩm. Trên iPhone, banner Amazon không tải. Trên một số trang, bộ quảng cáo lặp lại hai lần trở lên.

Một số trang xảy ra sự cố với:

• superuser.com (bất kỳ trang web SE)
• instagram.com
• pinterest.com
• Ask.com (quảng cáo xuất hiện hai lần)
• bbc.com

Không xảy ra vào:

• google.com
• linkin.com
• youtube.com
• cnn.com
• microsoft.com

(mặc dù các danh sách có thể bị ảnh hưởng bởi thành phần ngẫu nhiên của vấn đề).

Quảng cáo được hiển thị bằng mã HTML được chèn ngay sau khi mở <body>thẻ. Mã này không có trong chính HTML. Nhưng tôi có thể thấy điều đó, khi kiểm tra trang trong các công cụ phát triển trình duyệt (ví dụ: công cụ Inspector trong Firefox), do đó có khả năng nó được tạo bởi một số JavaScript. Mã được đính kèm ở cuối bài này. Khi trang kết xuất, trình duyệt bắt đầu kết nối với 85.25.138.211.

Tôi không có bất kỳ plugin không mong muốn nào trong (các) trình duyệt. Tôi cũng không xác định bất kỳ phần mềm quảng cáo / phần mềm độc hại nào trên máy của mình. Tôi thậm chí không mong đợi điều đó, vì vấn đề cũng xảy ra trên iPhone.

Cảm giác như tôi đã bị hack. Nhưng tôi không thể tưởng tượng được cách thức hoạt động của hack như vậy, vì nó ảnh hưởng đến các hệ thống khác nhau (Windows, iOS, Debian). Tôi đã cân nhắc việc bị hack bộ định tuyến, nhưng dường như vấn đề vẫn không xảy ra ngay cả khi tôi ngắt kết nối iPhone khỏi Wi-Fi. Tôi đã xem xét rằng ai đó đã khai thác một số lỗi trong thư viện JavaScript mà tất cả các trang bị ảnh hưởng chia sẻ. Nhưng trong trường hợp đó, vấn đề sẽ lan rộng, không chỉ xảy ra với tôi. Nhưng tôi đã không thể tìm thấy bất kỳ báo cáo nào về vấn đề như vậy bởi bất kỳ ai khác [cuối cùng không đúng, xem câu trả lời của tôi ].

Có ai có bất cứ ý tưởng, tại sao điều này đang xảy ra?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Sau nhiều thử nghiệm, tôi đã nhận ra rằng vấn đề đang xảy ra trên mạng di động chỉ vì bộ nhớ đệm. Sau khi xóa bộ đệm ( Xóa lịch sử và dữ liệu trang web ) và làm mới, vấn đề đã biến mất. Và nó chỉ xuất hiện lại sau khi kết nối lại với Wi-Fi.

Điều này làm rõ rằng vấn đề là do bộ định tuyến bị xâm nhập, Edimax AR-7265WNB. Đặt lại bộ định tuyến trở lại cài đặt gốc và cấu hình lại đã khắc phục sự cố.

Tôi không tìm thấy phiên bản phần sụn của bộ định tuyến mới hơn phiên bản tôi có (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Mặc dù tôi thấy rằng tường lửa trên bộ định tuyến đã tắt. Trên thực tế, bộ định tuyến tự thiết lập lại vài tuần trở lại. Khi cấu hình lại nó, có lẽ tôi đã quên bật tường lửa (thực ra tôi sẽ mong đợi tường lửa được bật theo mặc định).

Vấn đề dường như trên toàn thế giới hiện nay (các báo cáo khác ở đây và ở đây , một số báo cáo khác đã bị xóa), trái với yêu cầu của tôi trong câu hỏi. Điều đó sẽ đề xuất khai thác từ xa một số lỗ hổng bộ định tuyến (được hỗ trợ bởi vấn đề tường lửa), thay vì hack cục bộ vào Wi-Fi. Các loại khác báo cáo các loại bộ định tuyến khác nhau ( D-Link DSL-2600U , TP-Link), vì vậy vấn đề không cụ thể đối với Edimax.

Các báo cáo khác đề cập rằng cài đặt DNS hoặc proxy đã được sửa đổi. Tôi đã không kiểm tra điều này trước khi đặt lại bộ định tuyến của mình. Nhưng có thể bộ định tuyến của tôi đã được sửa đổi theo cách này, vì tường lửa đã tắt. Ngoài ra, nó giải thích việc tiêm mã vào bất kỳ trang nào mà không cần khai thác cụ thể theo bộ định tuyến. Vì vậy, kẻ tấn công có thể quét internet cho bất kỳ bộ định tuyến không bảo mật nào và chỉ cần cấu hình chúng để trỏ đến proxy của kẻ tấn công.

Tôi nhận thấy khoảng 2 ngày trước tôi đã nhận được cùng một quảng cáo trên nhiều thiết bị (máy tính xách tay, điện thoại thông minh Android và Nexus 7). Khi tôi xóa tất cả bộ nhớ cache của trình duyệt và kết nối với mạng di động, quảng cáo sẽ dừng, nhưng một khi tôi kết nối với mạng wi-fi thì chúng quay lại.

Tôi đã kết thúc việc chuyển đổi máy chủ DNS trên tất cả các kết nối của mình sang phiên bản 8.8.8.8 của google và quảng cáo đã ngừng quay trở lại trên mọi thiết bị.

Vì vậy, bộ định tuyến hoặc máy chủ DNS của ISP bị xâm nhập là phỏng đoán tốt nhất của tôi.

chỉnh sửa: Giống như Làm cách nào tôi có thể xóa quảng cáo không mong muốn trên đầu trang?

Bạn rất có thể đã có một số phần mềm gián điệp (rất dễ vô tình tải xuống, nhưng thường khá dễ gỡ bỏ, nếu bạn biết phải làm gì).

Bạn sẽ cần phải tải xuống một unistaller mạnh hơn, gỡ cài đặt windows sẽ không xóa nó.

Tải xuống IOBitUNinstaller . Bây giờ bạn sẽ phải duyệt qua mọi tệp (trên iobit) và xác định chương trình nào bạn không nhận ra hoặc có vẻ 'tanh', một tìm kiếm nhanh trên google (nếu không chắc chắn) sẽ tiết lộ nếu phần mềm độc hại của nó.

Bạn cũng có thể chọn gỡ cài đặt hàng loạt (tùy chọn trên cùng bên phải trên iobit), có thể cho phép bạn chọn nhiều chương trình để gỡ cài đặt - và tất nhiên, hãy để nó thực hiện quét sâu và xóa mọi thứ nó tìm thấy.