我正在使用 linux mint tara。當我瀏覽 Firefox 時,偶爾會有一個加密腳本被注入到我正在瀏覽的頁面中。點擊頁面上的任意位置時會開啟彈出廣告。我該如何檢測、調試或消除這個問題?
它使用多個網域來注入加密腳本,以下是在 metalstorm.net 上捕獲的一些腳本。
producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1
其他網站上的其他網站也會出現相同類型的彈出窗口,所有這些最終都會導致相同的廣告。
www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011
我驚呆了。我已將預設的 Firefox 替換為 tarball,但此惡意軟體活動仍然存在。我在 Firefox 上使用兩個插件(Alexander Shutau 的 Dark Reader 和 addONDeveloper 的 Little Proxy)。
是網站的錯誤還是從我的系統注入?如果我的系統上存在惡意軟體,我該如何調試我的系統?
更新:- (1)
在對我的第一個 Linux 設定感到偏執之後,我在 Windows 10 上嘗試了相同的操作,並且能夠重現廣告彈出視窗。現在我得出一個假設,它要么是由無線路由器(使用 TP LINK)注入的,要么是由 ISP 注入的。
觀察結果:-
可以在 http 網站上複製,但不能在同一網域的 https 網站上複製。
Adblock plus 無法封鎖其某些網域。
在Linux 上,它顯示重定向到附屬連結(上面發布),但在Windows 上,它顯示一個彈出窗口,透過點擊一個華麗的連結來安裝Firefox 更新(笑),這一定是廣告軟體/惡意軟體。 adscript 重定向流程是
- beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
- bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
- operaextremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=73337
如果我能夠調試我的路由器或檢查 ISP 是否注入腳本,我會自己發布答案。如果您知道調試此 adscript 原始程式碼的工具,請提出建議。
更新:- (2)
在瀏覽了與相關 ISP (BSNL) 相關的文章後,在 SE 和 Reddit 線程中發現了大量問題。
Reddit 主題
https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/
有關的
答案1
該問題可能根深蒂固地存在於您的 Firefox 設定檔中。使用空白設定檔啟動 Firefox:建立目錄並使用以下命令啟動 Firefox:
firefox --profile $directory
如果 Firefox 的該實例看起來很乾淨,那麼設定檔假設就會得到一些支援。
在這種情況下,最好的做法是重命名您的標準配置文件,讓 Firefox 建立一個新設定文件,並複製一些內容(已儲存的登入名稱/密碼、書籤等...)。
如果您想扮演偵探角色,請使用受感染的設定檔啟動 Firefox,然後尋找代理程式或某些未知的附加元件(最好在虛擬機器中)。
答案2
這是非加密網頁的普遍問題。它們可以由您的 ISP 或您與網站之間的任何其他伺服器在傳輸過程中進行修改。您應該考慮以下事項:
- 使用 VPN 阻止您的 ISP 窺探您的瀏覽習慣並修改網頁內容。
- 使用類似的擴展HTTPS 無所不在確保您在所有支援 HTTPS 的網站上使用 HTTPS(您甚至可以完全停用非安全連線)
- 告訴網站管理員重新配置他們的伺服器僅透過 HTTPS 提供服務。這可以透過以下方式完成HSTS和
301永久重定向。鑑於我們現在所處的世界,每個網站管理員都應該強制執行這一點。