Ich verwende Linux Mint Tara. Wenn ich mit Firefox surfe, wird gelegentlich ein verschlüsseltes Skript in die Seite eingefügt, die ich gerade durchsuche. Wenn ich irgendwo auf der Seite klicke, wird eine Popup-Anzeige geöffnet. Wie kann ich das erkennen, debuggen oder beseitigen?
Es verwendet mehrere Domänen, um verschlüsselte Skripte einzuschleusen. Im Folgenden sind einige auf metalstorm.net erfasste aufgeführt.
producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1
Auf anderen Websites werden Popups derselben Art angezeigt, die alle letztendlich zu derselben Anzeige führen.
www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011
Ich bin fassungslos. Ich habe den Standard-Firefox durch Tarball ersetzt, aber diese Malware-Aktivität besteht weiterhin. Ich verwende zwei Add-Ons für Firefox (Dark Reader von Alexander Shutau und Little Proxy von addONDeveloper).
Ist es die Schuld der Sites oder wird es von meinem System eingeschleust? Wie kann ich mein System debuggen, wenn sich Malware auf meinem System befindet?
Aktualisierung:- (1)
Nachdem ich bei meinem ersten Linux-Setup paranoid war, habe ich dasselbe unter Windows 10 versucht und konnte die Werbe-Popups reproduzieren. Jetzt bin ich zu der Annahme gelangt, dass es entweder von einem WLAN-Router (mit TP LINK) oder von einem ISP eingeschleust wurde.
Beobachtungen:-
Konnte auf http-Sites reproduziert werden, aber nicht auf https-Sites derselben Domäne.
Adblock Plus konnte einige seiner Domänen nicht blockieren.
Unter Linux wird eine Weiterleitung zum Affiliate-Link (siehe oben) angezeigt, unter Windows jedoch ein Popup, in dem Sie aufgefordert werden, das Firefox-Update durch Klicken auf einen auffälligen Link (lol) zu installieren. Dies muss eine Adware/Malware sein. Der Adscript-Weiterleitungsfluss war
- beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
- bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
- operaxtremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=s33371587
Ich werde die Antwort selbst posten, wenn ich meinen Router debuggen oder prüfen kann, ob mein ISP Skripte einschleust. Bitte machen Sie Vorschläge, wenn Sie Tools kennen, mit denen sich die Quelle dieses Adscripts debuggen lässt.
Aktualisierung:- (2)
Nachdem ich nach Artikeln zu dem betreffenden ISP (BSNL) gesucht hatte, fand ich in SE und einem Reddit-Thread zahlreiche Fragen.
Reddit-Thread
https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/
Verwandt
Antwort1
Das Problem liegt wahrscheinlich an Ihrem Firefox-Profil. Starten Sie Firefox mit einem leeren Profil: Erstellen Sie ein Verzeichnis und starten Sie Firefox mit:
firefox --profile $directory
Wenn diese Firefox-Instanz sauber aussieht, erhält die Profilhypothese eine gewisse Zugkraft.
In diesem Fall ist es am besten, wenn Sie Ihr Standardprofil umbenennen, Firefox ein neues erstellen lassen und einige Dinge (gespeicherte Anmeldedaten/Passwörter, Lesezeichen usw.) kopieren.
Wenn Sie Detektiv spielen möchten, starten Sie Firefox mit dem kompromittierten Profil und suchen Sie nach einem Proxy oder einem unbekannten Add-on (vorzugsweise in einer VM).
Antwort2
Dies ist ein allgemeines Problem bei nicht verschlüsselten Webseiten. Sie können während der Übertragung von Ihrem ISP oder jedem anderen Server zwischen Ihnen und der Website geändert werden. Sie sollten Folgendes beachten:
- Verwenden Sie ein VPN, um zu verhindern, dass Ihr ISP Ihre Surfgewohnheiten ausspioniert und den Inhalt von Webseiten ändert.
- Durch die Verwendung einer Erweiterung wieHTTPS überallum sicherzustellen, dass Sie HTTPS auf allen Websites verwenden, die es unterstützen (und Sie können nicht sichere Verbindungen sogar vollständig deaktivieren)
- Bitten Sie den Administrator der Website, die Server neu zu konfigurieren, umnur über HTTPS bereitstellenDies kann erreicht werden mitHSTSund
301permanente Weiterleitungen. Jeder Website-Administrator sollte dies in der Welt, in der wir heute leben, durchsetzen.