Mi ISP está inyectando códigos extraños a cada sitio web que visito

10

Aquí está el código al final de cada página:

<script type="text/javascript">if(self==top){var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");var idc_glo_r = Math.floor(Math.random()*99999999999);document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");document.write("?id=1");document.write("&amp;enc=telkom2");document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGdzujsIEimxj4UPJYe9kNVgJGL7lyzhXKfrFGnoI%2b0vRYDgH9e8pX4n5Ajpp2c31FAwDlsLBVPPzlithe%2b39AiTY5lcCtK5vmMReu6wh%2bDE9aF7GU5vhghexF8DVA5RGi1nSH%2b4LUQNJ2rgvBZQRGaRUEas7vndUsAU7ZB2kVVd21uWsDGzo5RfMV2LGQF5uvtQQLl0Ism%2f7TwrUdQb5rPOdOsuSNgCzf7cTnxOizeAF5TqCrR5TPbRFuCEbu1j0vYkDTFuj9EdyZbRxAaO9KaZ1VpIEUKC3XEDAXKf0X3XDCyG3gvQoMWun2ueK8dLkFXlxSf9N4HI19gTZgGjR6Yc6QWGdE220AehWZepv%2bai9rUvHBo8xGo5pesp2qLykCKOPvJaq0IlaAunmzO0iLn9hkvy%2bl3BA8crhs3KdFymg9sCqjZ016F5XxGxpvEP64Se5R%2fSVPWjmyrXRo0Hj%2fR5W2wmR5oVAqGo6XAIYvQPj%2fay6rRypz%2fdDgohPBqd3g9wGYkzKmh9CjDSiozL4BrH2xmRhjAwbe9WTBc%2f45LdcqT4sjgnuTFy");document.write("&amp;idc_r="+idc_glo_r);document.write("&amp;domain="+document.domain);document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);document.write("></scr"+"ipt>");}</script><noscript>activate javascript</noscript>

Código reformateado para facilitar la lectura:

<script type="text/javascript">
if (self==top) 
{
    var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");
    var idc_glo_r = Math.floor(Math.random()*99999999999);

    document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");
    document.write("?id=1");
    document.write("&amp;enc=telkom2");

    document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGdzujsIEimxj4UPJYe9kNVgJGL7lyzhXKfrFGnoI%2b0vRYDgH9e8pX4n5Ajpp2c31FAwDlsLBVPPzlithe%2b39AiTY5lcCtK5vmMReu6wh%2bDE9aF7GU5vhghexF8DVA5RGi1nSH%2b4LUQNJ2rgvBZQRGaRUEas7vndUsAU7ZB2kVVd21uWsDGzo5RfMV2LGQF5uvtQQLl0Ism%2f7TwrUdQb5rPOdOsuSNgCzf7cTnxOizeAF5TqCrR5TPbRFuCEbu1j0vYkDTFuj9EdyZbRxAaO9KaZ1VpIEUKC3XEDAXKf0X3XDCyG3gvQoMWun2ueK8dLkFXlxSf9N4HI19gTZgGjR6Yc6QWGdE220AehWZepv%2bai9rUvHBo8xGo5pesp2qLykCKOPvJaq0IlaAunmzO0iLn9hkvy%2bl3BA8crhs3KdFymg9sCqjZ016F5XxGxpvEP64Se5R%2fSVPWjmyrXRo0Hj%2fR5W2wmR5oVAqGo6XAIYvQPj%2fay6rRypz%2fdDgohPBqd3g9wGYkzKmh9CjDSiozL4BrH2xmRhjAwbe9WTBc%2f45LdcqT4sjgnuTFy");

    document.write("&amp;idc_r="+idc_glo_r);
    document.write("&amp;domain="+document.domain);
    document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);
    document.write("></scr"+"ipt>");
}
</script>
<noscript>activate javascript</noscript>

Por lo que sé, los scripts dan como resultado:
1. Anuncios que aparecen en la parte superior de la página.
2. Otro script, se ve así: (creo que es de todos los document.write )

<script type="text/javascript" src="http://cfs.u-ad.info/cfspushadsv2/request?id=1&enc=telkom2&params=4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGd5RLjWCROmlHIy48LIQTADgF3HH0Ey1rugHzqHqlMdHhjWGhSoLYV7pNQv4xROBLa3av9%2fC4NiY3j2JGTEsNtntuZbGJY6AcrFAxBU%2bl2v%2fP7UmpGL4oPTkrnZHz2siuHgJObfiz9o2uFZcO0r5u9yM9Hb9%2fxVMO5q2x880snCrSpl0W78pEGN9bkMf0L3sntEalc9JCGeOgb0Sq8Na%2bsPstohxMNLoxwUZzykryNagI6%2f97%2foigL7WlQibMgu7KLaJuvZRRYZAe56XBzGCV0Dd8hZMaqNSy%2bsf6U%2fGFtjczEXqcbHmTYb9CN%2fM%2bBp85oqvoYceLPyxOEvGtM%2f3cZitomHRmFvN5Iczk%2fAhExnvnRD1PulZ1mM7ESsBXyW3MVYIPD5IgxsP0pakjCfcJVA7PWyrNPt2MdgS%2bEeBDVs6vwiFe4pvuYzp%2f7xQfwQCEp%2fzYMYURDk147O8N8xLBb0GAw7j2%2bleN0JEJdAN8cPFMleFkkswZJQ9pozHFOUKaICQr3f27Qe4dh5ZOeWx%2fug&idc_r=89214501948&domain=sparklingchix.com&sw=1920&sh=1080"></script>

SivisitalaURL: enlace .
es una página de inicio de sesión del "Push Ads Management System" versión 2.0

3. En la página inferior, hay un iframe como este a continuación: (tenga en cuenta que también envía un dominio del sitio web que estoy viendo actualmente)

<div id="pushstat" style="visibility:hidden;height:0;width:0">
    <iframe src="http://stat01.u-ad.info/push.stat/stackoverflow.com"></iframe>
</div>

¡El iframe resultante contiene un script de Google Analytics !
(El que comienza con function(i,s,o,g,r,a,m) )

Mis preguntas:

  1. ¿Qué significa todo esto? ¿Solo querían mostrar anuncios o querían recopilar mis estadísticas de navegación?
  2. ¿Cómo puedo bloquearlo?

Información adicional: vivo en Indonesia.

    
pregunta topher 17.10.2014 - 16:49
fuente

4 respuestas

6

Si accede a una página https: // y el código todavía está allí, entonces es un código local de inyección de malware o un proxy configurado. Su ISP no puede inyectar su propio código html en una conexión https: // (a menos que por alguna extraña razón actúen como un proxy http del cual usted aceptó el certificado ssl).

    
respondido por el XemsDoom 18.10.2014 - 12:17
fuente
5

¿Estás seguro de que es tu ISP? ¿Podría ser un programa malicioso ejecutándose en su sistema?

Puedes intentar obtener un LiveCD de Linux en algún lugar, iniciarlo y ver si el código de inyección aún está allí.

Si ve el código inyectado, es casi seguro que su ISP esté haciendo esto. Puede consultar el contrato que firmó y, si no ve nada relacionado con el permiso de inyección de código, creo que puede demandar a su ISP.

Si ya no ve el código inyectado, el problema es que su sistema ha sido comprometido. Algunas personas dicen que puedes limpiar el sistema y mantenerlo en funcionamiento, por lo que puedes intentarlo. Descargue algunas herramientas de limpieza, elimine los perfiles de su navegador y vuelva a intentarlo. Si no funciona, haga una copia de seguridad de todo, destruya el sistema y vuelva a instalarlo desde cero.

    
respondido por el ThoriumBR 17.10.2014 - 17:29
fuente
2

Eso es realmente interesante. Nunca antes había visto esto usado por los ISP.

¿Seguro que algún dispositivo conectado a tu LAN no está comprometido con malware?

Si realmente es su ISP, leería sus TOS (Términos de servicio) como se recomienda @Eric G. Si está legalmente autorizado para prevenirlo, entonces:

Método 1:

  • Use proxy como recomienda @Eric G Si usa el puerto 80 y 443 y el código aún se ha inyectado, intente con un puerto HTTP / HTTPS no estándar. Como si su ISP inyectara código en otros puertos, causaría errores (por ejemplo: digamos que está jugando un juego en el puerto 1000 y el código fue inyectado, entonces el servidor del juego no entendería su solicitud). mediante el uso de la detección de protocolos, luego se inyecta el código en cualquier puerto que se detecte como HTTP / HTTPS.

Método 2:

  • Use un firewall para bloquear * .u-ad.info y cualquier otra entrada de DNS si ocurren.
  • Opcional para eliminar el código insertado: use el editor de paquetes como WPE PRO. Si está familiarizado con Windows Internals y su programador, puede usar desvíos de memoria y filtrar antes de que la aplicación lo procese. (Avíseme en un comentario si desea que amplíe mi respuesta sobre el uso de desvíos)
respondido por el Paul 17.10.2014 - 17:30
fuente
1

Si están inyectando scripts en cada página, esto indicaría que pueden estar rastreando, haciendo anuncios, etc. Están ejecutando su código y, dado que se carga dinámicamente, pueden cambiar lo que están haciendo y en cualquier momento. tiempo.

En la parte de bloqueo, deberá consultar los términos de servicio de su ISP y posiblemente las regulaciones gubernamentales con respecto al bloqueo o modificación de esta inyección de código.

Si está permitido, es posible que desee omitir completamente su ISP utilizando un proxy / VPN para iniciar su conexión a Internet desde una fuente más confiable (o al menos una que no esté inyectando código en sus páginas). Es posible que también desee experimentar con TOR .

En un navegador / computadora más local, es posible que desee deshabilitar JavaScript (lo que probablemente rompería muchos sitios) o probar algún tipo de proxy local o herramienta de bloqueo como Privoxy o NoScript . Puede buscar otros "proxies", "bloqueadores" o "proxies" que luego se pueden programar y personalizar para que las secuencias de comandos de listas blancas o negras ejecuten o carguen contenido de servidores específicos.

    
respondido por el Eric G 17.10.2014 - 17:02
fuente

Lea otras preguntas en las etiquetas