Werbung erscheint plötzlich auf fast jeder Seite

Seit heute Morgen erscheint auf vielen Seiten, die ich im Webbrowser öffne, seltsame Werbung (siehe Screenshot am Ende). Das passiert in jedem Browser (getestet mit FF, IE und Chrome), auf jedem der drei Computer in unserem Haushalt, sogar auf dem iPhone (egal ob über WLAN oder Mobilfunknetz verbunden [am Ende nicht wahr, siehe meine Antwort ]). . Auch auf Debian-Systemen läuft VMWare.

Manchmal erscheinen die Anzeigen nicht in Firefox, sondern im Internet Explorer. Manchmal werden sie nicht auf dem iPhone angezeigt, wenn eine Verbindung zum Mobiltelefon besteht, sondern wenn eine Verbindung zum Wi-Fi besteht. Aber meistens erscheinen sie auf jeden Fall. Auf einigen Seiten führt das Problem zu einer fehlerhaften Seitenwiedergabe.

Die Werbung ist in jedem Fall identisch. Dieselben Baum-Banner, außer dass Amazon das Produkt ändert. Auf dem iPhone wird das Amazon-Banner nicht geladen. Auf einigen Seiten wird die Anzeigengruppe mindestens zweimal wiederholt.

Einige der Seiten, bei denen das Problem auftritt:

• superuser.com (jede SE-Site)
• instagram.com
• pinterest.com
• ask.com (Anzeigen erscheinen zweimal)
• bbc.com

Nicht passiert am:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(obwohl die Listen durch zufällige Komponenten des Problems beeinflusst werden können).

Die Anzeigen werden durch HTML-Code gerendert, der direkt nach einem Eröffnungs- <body>Tag eingefügt wird. Der Code ist im HTML selbst nicht vorhanden. Aber ich kann es sehen, wenn ich die Seite in Browser-Entwicklungstools (z. B. Inspector-Tool in Firefox) inspiziere, sodass sie wahrscheinlich von etwas JavaScript generiert wird. Der Code ist am Ende dieses Beitrags angehängt. Sobald die Seite gerendert wurde, stellt der Browser eine Verbindung zu 85.25.138.211 her.

Ich habe keine unerwünschten Plugins in den Browsern. Ich habe auch keine Adware / Malware auf meinen Rechnern identifiziert. Das habe ich nicht einmal erwartet, da das Problem auch auf dem iPhone auftritt.

Es fühlt sich an wie ich gehackt wurde. Aber ich kann mir nicht vorstellen, wie ein solcher Hack funktionieren würde, da er verschiedene Systeme (Windows, iOS, Debian) betrifft. Ich habe überlegt, den Router gehackt zu haben, aber es scheint auch nicht wahrscheinlich zu sein, da das Problem auch dann bestehen bleibt, wenn ich das iPhone vom WLAN trenne. Ich war der Meinung, dass jemand einen Fehler in der JavaScript-Bibliothek ausgenutzt hat, den alle betroffenen Seiten gemeinsam haben. Aber in diesem Fall wäre das Problem weit verbreitet und würde nicht nur mir passieren. Aber ich konnte von niemand anderem einen Bericht über ein solches Problem finden [am Ende nicht wahr, siehe meine Antwort ].

Hat jemand eine Idee, warum das passiert?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Nach vielen Tests habe ich festgestellt, dass das Problem im Mobilfunknetz nur aufgrund von Caching auftritt. Nach dem Löschen eines Caches ( Verlauf und Websitedaten löschen ) und dem Aktualisieren ist das Problem behoben. Und es wurde erst wieder angezeigt, nachdem die Verbindung zum Wi-Fi hergestellt wurde.

Dies machte es offensichtlich, dass das Problem auf einen kompromittierten Router, Edimax AR-7265WNB, zurückzuführen ist. Das Zurücksetzen des Routers auf die Werkseinstellungen und die Neukonfiguration haben das Problem behoben.

Ich habe keine neuere Version der Router-Firmware gefunden als die, die ich habe (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Obwohl ich festgestellt habe, dass die Firewall auf dem Router ausgeschaltet war. Eigentlich hat sich der Router einige Wochen zurückgesetzt. Bei der Neukonfiguration habe ich wahrscheinlich vergessen, die Firewall zu aktivieren (eigentlich würde ich erwarten, dass die Firewall standardmäßig aktiviert ist).

Das Problem scheint jetzt weltweit (andere Berichte hier und hier , einige andere wurden gelöscht), entgegen meiner Behauptung in der Frage. Dies würde darauf hindeuten, dass eine Router-Sicherheitsanfälligkeit remote ausgenutzt wird (dies wird durch ein Firewall-Problem unterstützt), anstatt lokal in Wi-Fi zu hacken. Die anderen melden unterschiedliche Routertypen ( D-Link DSL-2600U , TP-Link), sodass das Problem nicht für den Edimax spezifisch ist.

In den anderen Berichten wird erwähnt, dass die DNS- oder Proxy-Einstellungen geändert wurden. Ich habe dies nicht überprüft, bevor ich meinen Router zurückgesetzt habe. Es ist jedoch möglich, dass mein Router auf diese Weise geändert wurde, da die Firewall ausgeschaltet war. Außerdem wird das Einfügen von Code in jede Seite erklärt, ohne dass ein routerspezifischer Exploit erforderlich ist. Daher scannt der Angreifer möglicherweise das Internet nach ungesicherten Routern und konfiguriert sie einfach so, dass sie auf den Proxy des Angreifers verweisen.

Ich habe vor ungefähr 2 Tagen festgestellt, dass ich auf mehreren Geräten (Laptop, Android-Smartphone und Nexus 7) genau die gleichen Anzeigen erhalte. Wenn ich alle Browser-Caches lösche und eine Verbindung zu einem Mobilfunknetz herstelle, werden die Anzeigen gestoppt, aber sobald ich eine Verbindung zum WLAN herstelle, kehren sie zurück.

Am Ende habe ich den DNS-Server für alle meine Verbindungen auf die Version 8.8.8.8 von Google umgestellt, und die Anzeigen kamen auf keinem Gerät mehr zurück.

Ich vermute, dass entweder der Router oder der DNS-Server des Internetdienstanbieters kompromittiert ist.

Bearbeiten: Wie Wie kann ich unerwünschte Werbung über Websites entfernen?

Sie haben höchstwahrscheinlich Spyware (sehr leicht aus Versehen herunterzuladen, aber normalerweise ziemlich leicht zu entfernen, wenn Sie wissen, was zu tun ist).

Sie müssen einen leistungsstärkeren Unistaller herunterladen, bei der Deinstallation von Windows wird dieser nicht entfernt.

Laden Sie das IOBitUN-Installationsprogramm herunter . Jetzt müssen Sie jede Datei (auf iobit) durchgehen und herausfinden, welches Programm Sie nicht erkennen oder als "faul" empfinden. Eine schnelle Google-Suche (falls Sie sich nicht sicher sind) zeigt an, ob es sich um Malware handelt.

Sie können auch die Batch-Deinstallation auswählen (Option oben rechts bei iobit), mit der Sie mehrere zu deinstallierende Programme auswählen können - und natürlich einen umfassenden Scan durchführen und alle gefundenen Programme entfernen.