Estou usando linux mint tara. Quando navego pelo Firefox, ocasionalmente um script criptografado é injetado na página que estou navegando. Quando clicado em qualquer lugar da página abre um anúncio pop-up. Como faço para detectar, depurar ou me livrar disso?
Ele usa vários domínios para injetar scripts criptografados, a seguir estão alguns capturados em metalstorm.net.
producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1
Existem outros em outros sites que levam ao mesmo tipo de pop-up, e todos levam ao mesmo anúncio.
www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011
Estou atordoado. Substituí o Firefox padrão pelo tarball, mas essa atividade de malware ainda persiste. Eu uso dois complementos no Firefox (Dark Reader de Alexander Shutau e Little Proxy de addONDeveloper).
A culpa é dos sites ou está sendo injetada no meu sistema? Como posso depurar meu sistema se houver algum malware em meu sistema?
Atualização: - (1)
Depois de ficar paranóico com minha primeira configuração do Linux, tentei fazer o mesmo no Windows 10 e consegui reproduzir os pop-ups de anúncios. Agora cheguei à conclusão de que foi injetado por roteador wireless (usando TP LINK) ou por ISP.
Observações:-
Pode ser reproduzido em sites http, mas não em sites https do mesmo domínio.
O Adblock plus não conseguiu bloquear alguns de seus domínios.
No Linux mostra um link de redirecionamento para afiliado (postado acima), mas no Windows mostra um pop-up para instalar a atualização do Firefox clicando em um link chamativo (risos), deve ser um adware/malware. O fluxo de redirecionamento adscript foi
- beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
- bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
- operaextremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=s33371587
Eu mesmo postarei a resposta se conseguir depurar meu roteador ou verificar se o ISP está injetando scripts. Por favor, sugira se você conhece ferramentas para depurar a fonte deste adscript.
Atualização: - (2)
Depois de procurar artigos relacionados ao ISP em questão (BSNL), encontrei muitas perguntas no SE e um tópico no reddit.
Tópico Reddit
https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/
Relacionado
Responder1
O problema provavelmente está enraizado no seu perfil do Firefox. Inicie o Firefox com um perfil em branco: crie um diretório e inicie o Firefox com:
firefox --profile $directory
Se essa instância do Firefox parecer limpa, a hipótese do perfil ganhará alguma força.
Nesse caso, a melhor ação é renomear seu perfil padrão, deixar o Firefox criar um novo e copiar algumas coisas (login/senhas salvas, favoritos, etc.).
Se você quiser bancar o detetive, inicie o Firefox com o perfil comprometido e procure um proxy ou algum complemento desconhecido (de preferência em uma VM).
Responder2
Este é um problema geral com páginas da web não criptografadas. Eles podem ser modificados em trânsito pelo seu ISP ou qualquer outro servidor entre você e o site. Você deve considerar o seguinte:
- Usando uma VPN para impedir que seu ISP espione seus hábitos de navegação e modifique o conteúdo de páginas da web.
- Usando uma extensão comoHTTPS em qualquer lugarpara garantir que você está usando HTTPS em todos os sites que o suportam (e você pode até desabilitar totalmente conexões não seguras)
- Dizendo ao administrador do site para reconfigurar seus servidores paraservir apenas por HTTPS. Isso pode ser feito comHSTSe
301redirecionamentos permanentes. Todo administrador de site deveria aplicar isso, dado o mundo em que vivemos.