Firefox에서 광고 스크립트 악성 코드 삽입을 제거하는 방법

tag-icon tag-icon firefox malware isp adblock adware
Firefox에서 광고 스크립트 악성 코드 삽입을 제거하는 방법

저는 리눅스 민트 타라를 사용하고 있습니다. Firefox를 통해 검색할 때 가끔 암호화된 스크립트가 검색 중인 페이지에 삽입되는 경우가 있습니다. 페이지의 아무 곳이나 클릭하면 팝업 광고가 열립니다. 이를 어떻게 감지, 디버깅 또는 제거합니까?

여러 도메인을 사용하여 암호화된 스크립트를 삽입합니다. 다음은 metalstorm.net에서 캡처된 몇 가지입니다.

producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1

다른 사이트에는 동일한 종류의 팝업을 표시하는 다른 사이트도 있으며, 모든 팝업이 결국 동일한 광고로 연결됩니다.

www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011

나는 깜짝 놀랐다. 기본 Firefox를 tarball로 교체했지만 이 맬웨어 활동은 여전히 ​​지속됩니다. 저는 Firefox에서 두 개의 애드온을 사용합니다(Alexander Shutau의 Dark Reader와 addONDeveloper의 Little Proxy).

사이트의 잘못입니까, 아니면 내 시스템에서 주입되는 것입니까? 내 시스템에 악성 코드가 있는 경우 어떻게 시스템을 디버깅할 수 있나요?

업데이트:- (1)

첫 번째 Linux 설정에 편집증이 생긴 후 Windows 10에서 동일한 작업을 시도하고 광고 팝업을 재현할 수 있었습니다. 이제 나는 그것이 무선 라우터(TP LINK 사용) 또는 ISP에 의해 주입되었다는 가정에 도달했습니다.

관찰:-

  1. http 사이트에서는 재현할 수 있지만 동일한 도메인의 https 사이트에서는 재현할 수 없습니다.

  2. Adblock plus는 일부 도메인을 차단할 수 없습니다.

  3. Linux에서는 제휴 링크(위에 게시됨)로의 리디렉션이 표시되지만 Windows에서는 화려한 링크를 클릭하여 Firefox 업데이트를 설치하라는 팝업이 표시됩니다(웃음). 이는 애드웨어/악성 프로그램임에 틀림없습니다. 광고 스크립트 리디렉션 흐름은 다음과 같습니다.

    1. beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
    2. bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
    3. Operateextremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=s33371587

광고문 주입

라우터를 디버깅할 수 있거나 ISP가 스크립트를 삽입하고 있는지 확인할 수 있으면 답변을 직접 게시하겠습니다. 이 광고스크립트의 소스를 디버깅하는 도구를 알고 있다면 제안해 주세요.

업데이트:- (2)

문제의 ISP(BSNL)와 관련된 기사를 검색한 후 SE 및 Reddit 스레드에서 많은 질문을 발견했습니다.

레딧 스레드

https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/

관련된

https://security.stackexchange.com/questions/157828/my-isp-bsnl-india-is-injecting-ads-using-phozeca-which-spoils-websites-and-mak

포트 53을 통해 DNS를 확보하고 리디렉션할 수 있는 경우 ISP의 광고가 나타나는 것을 차단하시겠습니까?

ISP가 웹페이지에 광고를 삽입하고 있습니다.

답변1

문제는 Firefox 프로필에 깊이 뿌리박혀 있을 가능성이 높습니다. 빈 프로필로 Firefox를 시작하세요. 디렉터리를 만들고 다음을 사용하여 Firefox를 시작하세요.

firefox --profile $directory

해당 Firefox 인스턴스가 깨끗해 보이면 프로필 가설이 어느 정도 견인력을 얻게 됩니다.

이 경우 가장 좋은 조치는 표준 프로필의 이름을 바꾸고, Firefox에서 새 프로필을 만들고, 몇 가지 항목(저장된 로그인/비밀번호, 북마크 등)을 복사하는 것입니다.

탐정 역할을 하고 싶다면 손상된 프로필로 Firefox를 시작하고 프록시나 알 수 없는 추가 기능(바람직하게는 VM에서)을 찾으세요.

답변2

이는 암호화되지 않은 웹페이지의 일반적인 문제입니다. ISP 또는 귀하와 웹사이트 사이에 있는 다른 서버에 의해 전송 중에 수정될 수 있습니다. 다음 사항을 고려해야 합니다.

  • VPN을 사용하면 ISP가 사용자의 검색 습관을 스누핑하고 웹페이지 콘텐츠를 수정하는 것을 방지할 수 있습니다.
  • 다음과 같은 확장 프로그램을 사용하여어디서나 HTTPSHTTPS를 지원하는 모든 웹사이트에서 HTTPS를 사용하고 있는지 확인하세요. (비보안 연결을 완전히 비활성화할 수도 있습니다.)
  • 웹사이트 관리자에게 서버를 다음과 같이 재구성하라고 지시합니다.HTTPS를 통해서만 제공. 이 작업은 다음으로 수행할 수 있습니다.HSTS영구 301리디렉션. 현재 우리가 살고 있는 세상을 고려할 때 모든 웹사이트 관리자는 이를 시행해야 합니다.

관련 정보