Il mio ISP sta iniettando strani codici per ogni sito web che visito

10

Ecco il codice in fondo a ogni pagina:

<script type="text/javascript">if(self==top){var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");var idc_glo_r = Math.floor(Math.random()*99999999999);document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");document.write("?id=1");document.write("&amp;enc=telkom2");document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGdzujsIEimxj4UPJYe9kNVgJGL7lyzhXKfrFGnoI%2b0vRYDgH9e8pX4n5Ajpp2c31FAwDlsLBVPPzlithe%2b39AiTY5lcCtK5vmMReu6wh%2bDE9aF7GU5vhghexF8DVA5RGi1nSH%2b4LUQNJ2rgvBZQRGaRUEas7vndUsAU7ZB2kVVd21uWsDGzo5RfMV2LGQF5uvtQQLl0Ism%2f7TwrUdQb5rPOdOsuSNgCzf7cTnxOizeAF5TqCrR5TPbRFuCEbu1j0vYkDTFuj9EdyZbRxAaO9KaZ1VpIEUKC3XEDAXKf0X3XDCyG3gvQoMWun2ueK8dLkFXlxSf9N4HI19gTZgGjR6Yc6QWGdE220AehWZepv%2bai9rUvHBo8xGo5pesp2qLykCKOPvJaq0IlaAunmzO0iLn9hkvy%2bl3BA8crhs3KdFymg9sCqjZ016F5XxGxpvEP64Se5R%2fSVPWjmyrXRo0Hj%2fR5W2wmR5oVAqGo6XAIYvQPj%2fay6rRypz%2fdDgohPBqd3g9wGYkzKmh9CjDSiozL4BrH2xmRhjAwbe9WTBc%2f45LdcqT4sjgnuTFy");document.write("&amp;idc_r="+idc_glo_r);document.write("&amp;domain="+document.domain);document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);document.write("></scr"+"ipt>");}</script><noscript>activate javascript</noscript>

Codice riformattato per la leggibilità:

<script type="text/javascript">
if (self==top) 
{
    var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");
    var idc_glo_r = Math.floor(Math.random()*99999999999);

    document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");
    document.write("?id=1");
    document.write("&amp;enc=telkom2");

    document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGdzujsIEimxj4UPJYe9kNVgJGL7lyzhXKfrFGnoI%2b0vRYDgH9e8pX4n5Ajpp2c31FAwDlsLBVPPzlithe%2b39AiTY5lcCtK5vmMReu6wh%2bDE9aF7GU5vhghexF8DVA5RGi1nSH%2b4LUQNJ2rgvBZQRGaRUEas7vndUsAU7ZB2kVVd21uWsDGzo5RfMV2LGQF5uvtQQLl0Ism%2f7TwrUdQb5rPOdOsuSNgCzf7cTnxOizeAF5TqCrR5TPbRFuCEbu1j0vYkDTFuj9EdyZbRxAaO9KaZ1VpIEUKC3XEDAXKf0X3XDCyG3gvQoMWun2ueK8dLkFXlxSf9N4HI19gTZgGjR6Yc6QWGdE220AehWZepv%2bai9rUvHBo8xGo5pesp2qLykCKOPvJaq0IlaAunmzO0iLn9hkvy%2bl3BA8crhs3KdFymg9sCqjZ016F5XxGxpvEP64Se5R%2fSVPWjmyrXRo0Hj%2fR5W2wmR5oVAqGo6XAIYvQPj%2fay6rRypz%2fdDgohPBqd3g9wGYkzKmh9CjDSiozL4BrH2xmRhjAwbe9WTBc%2f45LdcqT4sjgnuTFy");

    document.write("&amp;idc_r="+idc_glo_r);
    document.write("&amp;domain="+document.domain);
    document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);
    document.write("></scr"+"ipt>");
}
</script>
<noscript>activate javascript</noscript>

Per quanto ne so, gli script risultano in:
1. Annunci pubblicitari in cima alla pagina.
2. Un altro script, assomiglia a questo: (penso che provenga da tutti document.write )

<script type="text/javascript" src="http://cfs.u-ad.info/cfspushadsv2/request?id=1&enc=telkom2&params=4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGd5RLjWCROmlHIy48LIQTADgF3HH0Ey1rugHzqHqlMdHhjWGhSoLYV7pNQv4xROBLa3av9%2fC4NiY3j2JGTEsNtntuZbGJY6AcrFAxBU%2bl2v%2fP7UmpGL4oPTkrnZHz2siuHgJObfiz9o2uFZcO0r5u9yM9Hb9%2fxVMO5q2x880snCrSpl0W78pEGN9bkMf0L3sntEalc9JCGeOgb0Sq8Na%2bsPstohxMNLoxwUZzykryNagI6%2f97%2foigL7WlQibMgu7KLaJuvZRRYZAe56XBzGCV0Dd8hZMaqNSy%2bsf6U%2fGFtjczEXqcbHmTYb9CN%2fM%2bBp85oqvoYceLPyxOEvGtM%2f3cZitomHRmFvN5Iczk%2fAhExnvnRD1PulZ1mM7ESsBXyW3MVYIPD5IgxsP0pakjCfcJVA7PWyrNPt2MdgS%2bEeBDVs6vwiFe4pvuYzp%2f7xQfwQCEp%2fzYMYURDk147O8N8xLBb0GAw7j2%2bleN0JEJdAN8cPFMleFkkswZJQ9pozHFOUKaICQr3f27Qe4dh5ZOeWx%2fug&idc_r=89214501948&domain=sparklingchix.com&sw=1920&sh=1080"></script>

Sevisitil'URL: link .
è una pagina di accesso di "Push Ads Management System" versione 2.0

3. Nella pagina in basso, c'è un iframe come questo qui sotto: (nota che invia anche un dominio del sito web che sto visualizzando)

<div id="pushstat" style="visibility:hidden;height:0;width:0">
    <iframe src="http://stat01.u-ad.info/push.stat/stackoverflow.com"></iframe>
</div>

L'iframe risultante contiene uno script di Google Analytics !
(Quello che inizia con function(i,s,o,g,r,a,m) )

Le mie domande:

  1. Cosa significa tutto questo? Volevano solo mostrare annunci o volevo raccogliere le mie statistiche di navigazione?
  2. Come posso bloccarlo?

Informazioni aggiuntive: vivo in Indonesia.

    
posta topher 17.10.2014 - 16:49
fonte

4 risposte

6

Se accedi a una pagina https: // e il codice è ancora lì, allora si tratta di un codice di iniezione locale di malware o di un proxy configurato. Il tuo ISP non può inserire il proprio codice html in una connessione https: // (a meno che per qualche strana ragione agiscano come un proxy http di cui hai accettato il certificato ssl).

    
risposta data 18.10.2014 - 12:17
fonte
5

Sei sicuro che sia il tuo ISP? Potrebbe essere un programma dannoso in esecuzione sul tuo sistema?

Puoi provare a ottenere un LiveCD Linux da qualche parte, avviarlo e vedere se l'iniezione del codice è ancora lì.

Se vedi il codice iniettato, è quasi sicuramente il tuo ISP a farlo. Puoi guardare il contratto che hai firmato e se non vedi nulla relativo all'autorizzazione per l'immissione di codice, penso che tu possa denunciare il tuo ISP.

Se non vedi più il codice iniettato, il problema è che il tuo sistema è stato compromesso. Alcuni dicono che puoi ripulire il sistema e mantenerlo attivo, quindi puoi provare. Scarica alcuni strumenti di pulizia, elimina i profili del browser e riprova. Se non funziona, fai il backup di tutto, installa il sistema e reinstallalo da zero.

    
risposta data 17.10.2014 - 17:29
fonte
2

È davvero interessante. Non avevo mai visto questo usato dagli ISP prima.

Sei sicuro che qualsiasi dispositivo connesso alla tua LAN non sia stato compromesso con malware?

Se è davvero il tuo ISP, ti consiglio di leggere il tuo TOS (Termini di servizio) come raccomandato da @Eric G. Se sei legalmente autorizzato a impedirlo, allora:

Metodo 1:

  • Utilizza il proxy come consigliato da @Eric G. Se si utilizzano ancora le porte 80 e 443 e il codice è stato iniettato, provare una porta HTTP / HTTPS non standard. Come se il tuo ISP immettesse il codice in altre porte causerebbe errori (ad esempio: diciamo che stai giocando ad un gioco sulla porta 1000 e il codice è stato iniettato, allora il server di gioco non capirebbe la tua richiesta.) Il tuo ISP forse tecniche più avanzate utilizzando il rilevamento del protocollo, quindi iniettando il codice in qualsiasi porta rilevata come HTTP / HTTPS.

Metodo 2:

  • Utilizza un firewall per bloccare * .u-ad.info e qualsiasi altra voce DNS se si verificano.
  • Facoltativo rimuovere il codice inserito: utilizzare l'editor di pacchetti come WPE PRO. Se hai familiarità con Windows interni e il tuo programmatore, puoi usare le deviazioni della memoria e filtrare prima ancora di essere processato dall'applicazione. (Fammi sapere in commento se vuoi che espandi la mia risposta sull'uso delle deviazioni)
risposta data 17.10.2014 - 17:30
fonte
1

Se inseriscono script in ogni pagina, ciò significherebbe che potrebbero tracciarti, potrebbero pubblicare annunci, ecc. Stanno eseguendo il loro codice e poiché carica dinamicamente potrebbero cambiare quello che stanno facendo e quando tempo.

Nella parte di blocco, è necessario verificare i termini di servizio del proprio ISP e le eventuali normative governative in merito al blocco o alla modifica di questo codice di iniezione.

Se consentito, potresti voler bypassare completamente il tuo ISP utilizzando un proxy / VPN per avviare la connessione a Internet da una fonte più affidabile (o almeno una che non inserisce attivamente il codice nelle tue pagine). Potresti anche provare a sperimentare con TOR .

Su una base browser / computer più locale, potresti voler disabilitare JavaScript (che probabilmente interromperà molti siti) o provare qualche tipo di proxy locale o strumento di blocco come Privoxy o NoScript . Puoi cercare altri "proxy", "bloccanti" o "proxy" che possono quindi essere programmati e personalizzati per gli elenchi di whitelist o blacklist dall'esecuzione o dal caricamento di contenuti da server specifici.

    
risposta data 17.10.2014 - 17:02
fonte

Leggi altre domande sui tag