Estoy usando Linux Mint Tara. Cuando navego a través de Firefox, ocasionalmente se inyecta un script cifrado en la página que estoy navegando. Cuando se hace clic en cualquier lugar de la página, se abre un anuncio emergente. ¿Cómo puedo detectar, depurar o eliminar esto?
Utiliza varios dominios para inyectar scripts cifrados; a continuación se muestran algunos capturados en metalstorm.net.
producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1
Hay otros en otros sitios que muestran el mismo tipo de ventana emergente, y todas ellas finalmente conducen al mismo anuncio.
www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011
Estoy atónito. Reemplacé el Firefox predeterminado con tarball, pero esta actividad de malware aún persiste. Utilizo dos complementos en Firefox (Dark Reader de Alexander Shutau y Little Proxy de addONDeveloper).
¿Es culpa de los sitios o se inyecta desde mi sistema? ¿Cómo puedo depurar mi sistema si hay algún malware en mi sistema?
Actualización:- (1)
Después de estar paranoico con mi primera configuración de Linux, intenté lo mismo en Windows 10 y pude reproducir las ventanas emergentes de anuncios. Ahora he llegado a la suposición de que fue inyectado por un enrutador inalámbrico (usando TP LINK) o por un ISP.
Observaciones:-
Podría reproducirse en sitios http pero no en sitios https del mismo dominio.
Adblock plus no pudo bloquear algunos de sus dominios.
En Linux, muestra una redirección a un enlace de afiliado (publicado arriba), pero en Windows muestra una ventana emergente para instalar la actualización de Firefox haciendo clic en un enlace llamativo (risas), debe ser un adware/malware. El flujo de redireccionamiento de Adscript fue
- beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
- bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
- operarextremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=s33371587
Publicaré la respuesta yo mismo si puedo depurar mi enrutador o verificar si el ISP está inyectando scripts. Sugiera si conoce herramientas para depurar la fuente de este adscript.
Actualización: - (2)
Después de buscar artículos relacionados con el ISP en cuestión (BSNL), encontré muchas preguntas en SE y un hilo de Reddit.
Hilo de Reddit
https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/
Relacionado
Respuesta1
Es probable que el problema esté arraigado en su perfil de Firefox. Inicie Firefox con un perfil en blanco: cree un directorio e inicie Firefox con:
firefox --profile $directory
Si esa instancia de Firefox parece limpia, entonces la hipótesis del perfil gana algo de fuerza.
En cuyo caso, el mejor curso de acción es cambiar el nombre de su perfil estándar, dejar que Firefox cree uno nuevo y copiar algunas cosas (inicio de sesión/contraseñas guardadas, marcadores, etc.).
Si quieres jugar al detective, inicia Firefox con el perfil comprometido y busca un proxy o algún complemento desconocido (preferiblemente en una máquina virtual).
Respuesta2
Este es un problema general con las páginas web no cifradas. Su ISP o cualquier otro servidor entre usted y el sitio web pueden modificarlos en tránsito. Debes considerar lo siguiente:
- Usar una VPN para evitar que su ISP espíe sus hábitos de navegación y modifique el contenido de las páginas web.
- Usando una extensión comoHTTPS en todas partespara asegurarte de que estás usando HTTPS en todos los sitios web que lo admiten (e incluso puedes desactivar por completo las conexiones no seguras)
- Decirle al administrador del sitio web que reconfigure sus servidores parasolo sirve a través de HTTPS. Esto se puede hacer conHSTSy
301redirecciones permanentes. Todo administrador de un sitio web debería hacer cumplir esto, dado el mundo en el que vivimos ahora.