从今天早上起,我在网页浏览器打开的许多页面顶部都出现了奇怪的广告(见最后的截图)。这种情况发生在任何浏览器(测试了 FF、IE 和 Chrome)、我们家的三台机器中的任何一台上,甚至在 iPhone 上(无论连接到 Wi-Fi 还是蜂窝网络 [最终不是这样,请参阅我的答案])。即使在VMWare中运行的Debian系统上。
有时广告不会出现在 Firefox 中,但会出现在 IE 中。有时在 iPhone 连接蜂窝网络时不会出现广告,但会在 Wi-Fi 连接时出现。但大多数情况下广告都会出现。在某些页面上,此问题会破坏页面渲染。
每种情况下的广告都相同。相同的三条横幅,除了亚马逊横幅会更改产品。在 iPhone 上,亚马逊横幅不会加载。在某些页面上,广告集重复两次或更多次。
出现问题的部分页面:
- superuser.com (任何 SE 网站)
- instagram.com
- pinterest.com
- ask.com(广告出现两次)
- 英国广播公司
未发生于:
- google.com
- linkedin.com
- youtube.com
- 美国有线电视新闻网
- 微软
(尽管列表可能会受到问题的随机成分的影响)。
广告由在开始标记后立即注入的 HTML 代码呈现<body>。代码不存在于 HTML 本身中。但我在浏览器开发工具(例如 Firefox 中的检查器工具)中检查页面时可以看到它,因此它很可能是由某些 JavaScript 生成的。代码附在本文末尾。页面呈现后,浏览器开始连接到 85.25.138.211。
我的浏览器中没有任何不需要的插件。我也没有在我的计算机上发现任何广告软件/恶意软件。我甚至没想到这一点,因为这个问题也发生在 iPhone 上。
感觉就像我被黑客入侵了。但我无法想象这种黑客攻击是如何进行的,因为它会影响不同的系统(Windows、iOS、Debian)。我考虑过路由器被黑客入侵,但这似乎也不太可能,因为即使我断开 iPhone 与 Wi-Fi 的连接,问题仍然存在。我认为有人利用了所有受影响页面共享的 JavaScript 库中的某个错误。但在这种情况下,问题会很普遍,而不仅仅是发生在我身上。但我找不到其他人对此类问题的任何报告[最终不是这样,请参阅我的答案]。
有人知道为什么会发生这种情况吗?
<body class="user-page new-topbar" lang="">
<div align="center">
<a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
<img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
</a>
</div>
<div align="center">
<iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
#document
<html>
<head></head>
<body>
<div id="wrap">
<object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
<!--
Tags used by MSIE Rendering engine
-->
<param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
<param value="high" name="quality"></param>
<param value="transparent" name="wmode"></param>
<param value="#FFFFFF" name="bgcolor"></param>
<param value="all" name="allowNetworking"></param>
<param value="always" name="allowScriptAccess"></param>
<!--
Tags used by Mozilla Rendering engine
-->
<embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
</object>
</div>
<script></script>
</body>
</html>
<!--
autogen flash template V 0.1311154052
-->
</iframe>
</div>
<div align="center">
<!--
default
-->
<div id="ca-block-2228" class="ca-block"></div>
</div>
答案1
经过多次测试,我意识到该问题仅在蜂窝网络上发生,因为缓存。清除缓存后(清除历史记录和网站数据) 并刷新后,问题就消失了。只有重新连接 Wi-Fi 后,问题才会再次出现。
由此可以明显看出,问题是由于路由器 Edimax AR-7265WNB 被入侵所致。将路由器重置为出厂设置并重新配置后,问题便得以解决。
我没有找到比我现有的路由器固件更新的版本(FwVer:3.10.16.0_TC3085 HwVer:T14.F7_3.0)。不过我发现路由器上的防火墙已关闭。实际上,路由器几周前就自行重置了。重新配置时,我可能忘记启用防火墙了(实际上我希望防火墙默认处于开启状态)。
现在这个问题似乎已经蔓延到了全世界(其他报道这里和这里,其他一些被删除了),这与我在问题中的说法相反。这表明远程利用某些路由器漏洞(由防火墙问题支持),而不是本地入侵 Wi-Fi。其他人报告了不同类型的路由器(D-Link DSL-2600U、TP-Link),因此该问题并非 Edimax 所特有。
其他报告提到 DNS 或代理设置被修改。在重置路由器之前,我没有检查这一点。但由于防火墙已关闭,我的路由器可能被这样修改了。它还解释了在任何页面中注入代码而无需任何特定于路由器的漏洞。因此,攻击者可能会扫描互联网以查找任何不安全的路由器,并简单地将它们配置为指向攻击者的代理。
答案2
大约 2 天前,我注意到我在多台设备(笔记本电脑、Android 智能手机和 Nexus 7)上看到了完全相同的广告。当我清除所有浏览器缓存并连接到蜂窝网络时,广告停止了,但一旦我连接到 Wi-Fi,广告又回来了。
我最终将所有连接的 DNS 服务器切换为谷歌的 8.8.8.8,并且每个设备上的广告都不再出现。
因此,我的最佳猜测是路由器或 ISP 的 DNS 服务器已被入侵。
编辑:相同如何删除网站顶部不需要的广告?
答案3
您很可能已经感染了一些间谍软件(很容易被意外下载,但如果您知道怎么做的话,通常很容易被删除)。
您将需要下载更强大的卸载程序,Windows 卸载不会删除它。
下载IOBitUNinstaller。现在您必须检查每个文件(在 iobit 上)并确定您无法识别或看起来“可疑”的程序,快速谷歌搜索(如果不确定)将显示其是否是恶意软件。
您还可以选择批量卸载(iobit 右上角的选项),它可以让您选择多个程序进行卸载 - 当然,让它进行深度扫描并删除它找到的所有内容。