Werbung erscheint plötzlich auf fast jeder Seite


8

Seit heute Morgen erscheint auf vielen Seiten, die ich im Webbrowser öffne, seltsame Werbung (siehe Screenshot am Ende). Das passiert in jedem Browser (getestet mit FF, IE und Chrome), auf jedem der drei Computer in unserem Haushalt, sogar auf dem iPhone (egal ob über WLAN oder Mobilfunknetz verbunden [am Ende nicht wahr, siehe meine Antwort ]). . Auch auf Debian-Systemen läuft VMWare.

Manchmal erscheinen die Anzeigen nicht in Firefox, sondern im Internet Explorer. Manchmal werden sie nicht auf dem iPhone angezeigt, wenn eine Verbindung zum Mobiltelefon besteht, sondern wenn eine Verbindung zum Wi-Fi besteht. Aber meistens erscheinen sie auf jeden Fall. Auf einigen Seiten führt das Problem zu einer fehlerhaften Seitenwiedergabe.

Die Werbung ist in jedem Fall identisch. Dieselben Baum-Banner, außer dass Amazon das Produkt ändert. Auf dem iPhone wird das Amazon-Banner nicht geladen. Auf einigen Seiten wird die Anzeigengruppe mindestens zweimal wiederholt.

Einige der Seiten, bei denen das Problem auftritt:

  • superuser.com (jede SE-Site)
  • instagram.com
  • pinterest.com
  • ask.com (Anzeigen erscheinen zweimal)
  • bbc.com

Nicht passiert am:

  • google.com
  • linkedin.com
  • youtube.com
  • cnn.com
  • microsoft.com

(obwohl die Listen durch zufällige Komponenten des Problems beeinflusst werden können).

Die Anzeigen werden durch HTML-Code gerendert, der direkt nach einem Eröffnungs- <body>Tag eingefügt wird. Der Code ist im HTML selbst nicht vorhanden. Aber ich kann es sehen, wenn ich die Seite in Browser-Entwicklungstools (z. B. Inspector-Tool in Firefox) inspiziere, sodass sie wahrscheinlich von etwas JavaScript generiert wird. Der Code ist am Ende dieses Beitrags angehängt. Sobald die Seite gerendert wurde, stellt der Browser eine Verbindung zu 85.25.138.211 her.

Ich habe keine unerwünschten Plugins in den Browsern. Ich habe auch keine Adware / Malware auf meinen Rechnern identifiziert. Das habe ich nicht einmal erwartet, da das Problem auch auf dem iPhone auftritt.

Es fühlt sich an wie ich gehackt wurde. Aber ich kann mir nicht vorstellen, wie ein solcher Hack funktionieren würde, da er verschiedene Systeme (Windows, iOS, Debian) betrifft. Ich habe überlegt, den Router gehackt zu haben, aber es scheint auch nicht wahrscheinlich zu sein, da das Problem auch dann bestehen bleibt, wenn ich das iPhone vom WLAN trenne. Ich war der Meinung, dass jemand einen Fehler in der JavaScript-Bibliothek ausgenutzt hat, den alle betroffenen Seiten gemeinsam haben. Aber in diesem Fall wäre das Problem weit verbreitet und würde nicht nur mir passieren. Aber ich konnte von niemand anderem einen Bericht über ein solches Problem finden [am Ende nicht wahr, siehe meine Antwort ].

Hat jemand eine Idee, warum das passiert?

Bildbeschreibung hier eingeben

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Antworten:


11

Nach vielen Tests habe ich festgestellt, dass das Problem im Mobilfunknetz nur aufgrund von Caching auftritt. Nach dem Löschen eines Caches ( Verlauf und Websitedaten löschen ) und dem Aktualisieren ist das Problem behoben. Und es wurde erst wieder angezeigt, nachdem die Verbindung zum Wi-Fi hergestellt wurde.

Dies machte es offensichtlich, dass das Problem auf einen kompromittierten Router, Edimax AR-7265WNB, zurückzuführen ist. Das Zurücksetzen des Routers auf die Werkseinstellungen und die Neukonfiguration haben das Problem behoben.

Ich habe keine neuere Version der Router-Firmware gefunden als die, die ich habe (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Obwohl ich festgestellt habe, dass die Firewall auf dem Router ausgeschaltet war. Eigentlich hat sich der Router einige Wochen zurückgesetzt. Bei der Neukonfiguration habe ich wahrscheinlich vergessen, die Firewall zu aktivieren (eigentlich würde ich erwarten, dass die Firewall standardmäßig aktiviert ist).

Das Problem scheint jetzt weltweit (andere Berichte hier und hier , einige andere wurden gelöscht), entgegen meiner Behauptung in der Frage. Dies würde darauf hindeuten, dass eine Router-Sicherheitsanfälligkeit remote ausgenutzt wird (dies wird durch ein Firewall-Problem unterstützt), anstatt lokal in Wi-Fi zu hacken. Die anderen melden unterschiedliche Routertypen ( D-Link DSL-2600U , TP-Link), sodass das Problem nicht für den Edimax spezifisch ist.

In den anderen Berichten wird erwähnt, dass die DNS- oder Proxy-Einstellungen geändert wurden. Ich habe dies nicht überprüft, bevor ich meinen Router zurückgesetzt habe. Es ist jedoch möglich, dass mein Router auf diese Weise geändert wurde, da die Firewall ausgeschaltet war. Außerdem wird das Einfügen von Code in jede Seite erklärt, ohne dass ein routerspezifischer Exploit erforderlich ist. Daher scannt der Angreifer möglicherweise das Internet nach ungesicherten Routern und konfiguriert sie einfach so, dass sie auf den Proxy des Angreifers verweisen.


Welcher Router? Haben Sie die Firmware auf die neueste Version aktualisiert?
K7AAY

1

Ich habe vor ungefähr 2 Tagen festgestellt, dass ich auf mehreren Geräten (Laptop, Android-Smartphone und Nexus 7) genau die gleichen Anzeigen erhalte. Wenn ich alle Browser-Caches lösche und eine Verbindung zu einem Mobilfunknetz herstelle, werden die Anzeigen gestoppt, aber sobald ich eine Verbindung zum WLAN herstelle, kehren sie zurück.

Am Ende habe ich den DNS-Server für alle meine Verbindungen auf die Version 8.8.8.8 von Google umgestellt, und die Anzeigen kamen auf keinem Gerät mehr zurück.

Ich vermute, dass entweder der Router oder der DNS-Server des Internetdienstanbieters kompromittiert ist.

Bearbeiten: Wie Wie kann ich unerwünschte Werbung über Websites entfernen?


1
Welchen Router benutzt du?
Martin Prikryl

0

Sie haben höchstwahrscheinlich Spyware (sehr leicht aus Versehen herunterzuladen, aber normalerweise ziemlich leicht zu entfernen, wenn Sie wissen, was zu tun ist).

Sie müssen einen leistungsstärkeren Unistaller herunterladen, bei der Deinstallation von Windows wird dieser nicht entfernt.

Laden Sie das IOBitUN-Installationsprogramm herunter . Jetzt müssen Sie jede Datei (auf iobit) durchgehen und herausfinden, welches Programm Sie nicht erkennen oder als "faul" empfinden. Eine schnelle Google-Suche (falls Sie sich nicht sicher sind) zeigt an, ob es sich um Malware handelt.

Sie können auch die Batch-Deinstallation auswählen (Option oben rechts bei iobit), mit der Sie mehrere zu deinstallierende Programme auswählen können - und natürlich einen umfassenden Scan durchführen und alle gefundenen Programme entfernen.


1
Danke für deine Antwort. Würde das das Problem auf dem iPhone und Debian erklären?
Martin Prikryl

1
Nein. Wenn es auf Ihrem iPhone und Debian-System passiert, ist Ihr Router (insbesondere die DNS-Einstellungen Ihres Routers) möglicherweise kompromittiert. Führen Sie einen Werksreset durch. Wenn Sie es erneut einrichten, müssen Sie ein PASSWORT EINSTELLEN, damit nicht automatisch eine Neukonfiguration der unerwünschten Software auf Ihrem Computer durchgeführt werden kann.
Jeremy Visser

@ JeremyVisser Aber es passiert auch, wenn ich das iPhone vom WLAN trenne.
Martin Prikryl

1
Sie benötigen keine IOBIT-Software, um so etwas zu entfernen. Die normalen Anzeigen- / Entfernungsprogramme erledigen genau das, was IOBITUninstaller trotz der anderen Behauptungen tut. IOBIT ist Schlangenöl, vertraue ihm nicht.
Ramhound

@MartinPrikryl Ich bin mir nicht sicher, wie es auf dein Iphone gekommen wäre, es sei denn, du bist auf allen Geräten angemeldet und benutzt Chrome oder so. Aber versuchen Sie es mit dem obigen Fix (auch auf Chrome, installieren Sie Adblock und prüfen Sie, ob das Problem dadurch behoben wird . Wenn nicht, überprüfen Sie weiterhin, ob Sie ALLE Software auf Ihrem PC erkennen, und installieren Sie (kostenlose Version) Malwarebytes , zwischen den beiden finden Sie hoffentlich die Ausgabe
Benscabbia
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.