我使用的是 Linux Mint Tara。当我浏览 Firefox 时,偶尔会有一个加密脚本被注入到我浏览的页面中。单击页面上的任意位置时会弹出广告。我该如何检测、调试或摆脱这种情况?
它使用多个域来注入加密脚本,以下是在 metalstorm.net 上捕获的一些脚本。
producebreed.com/rhZuYJzPiF4A/7259?ndn=ch1
allashail.club/rOE2tc1PoS95dtt/6921?ndn=ch1
其他网站上也出现了同样的弹出窗口,最终都指向同一个广告。
www.flipkart.com/?affid=galaksion&affExtParam1=675DF0D0-F015-11E9-AD30-A5250CAA7799&affExtParam2=23011
我惊呆了。我已经用 tarball 替换了默认的 Firefox,但这种恶意软件活动仍然存在。我在 Firefox 上使用两个插件(Alexander Shutau 的 Dark Reader 和 addONDeveloper 的 Little Proxy)。
这是网站的错误还是从我的系统注入的?如果我的系统上有恶意软件,我该如何调试我的系统?
更新:-(1)
在第一次安装 Linux 时,我感到十分疑惑,于是在 Windows 10 上尝试了同样的操作,并重现了广告弹出窗口。现在我得出了一个假设,即它是由无线路由器(使用 TP LINK)或 ISP 注入的。
观察结果:-
可以在 http 站点上重现,但不能在同一域的 https 站点上重现。
Adblock plus 无法阻止其某些域名。
在 Linux 上,它显示重定向到联盟链接(如上所示),但在 Windows 上,它显示一个弹出窗口,点击闪烁的链接即可安装 Firefox 更新(哈哈),一定是广告软件/恶意软件。adscript 重定向流程是
- beebuyart.club/rEf9VJuYlrzh/6934?ndn=ch1
- bumcapale.site/itBijexW4tbTS9g8xadln/3276?param_2=6934
- operateextremelyswiftsoftware.icu/ztqvfI7dezj3gbC3YoH5Y_zIsFAxcXiBNPSK8NeX69I?clck=12819_11387_31571234720101895&sid=s33371587
如果我能调试路由器或检查 ISP 是否正在注入脚本,我会自己发布答案。如果您知道用于调试此脚本源代码的工具,请提出建议。
更新:- (2)
浏览与所讨论的 ISP(BSNL)相关的文章后,在 SE 和 reddit 主题中发现了很多问题。
Reddit 主题
https://www.reddit.com/r/IndiaSpeaks/comments/a9nsoz/bsnl_is_not_injecting_the_ads_into_our_http/
有关的
答案1
问题可能出在您的 Firefox 配置文件中。使用空白配置文件启动 Firefox:创建一个目录并启动 Firefox:
firefox --profile $directory
如果 Firefox 的这个实例看起来很干净,那么配置文件假设就会得到一些支持。
在这种情况下,最好的办法是重命名您的标准配置文件,让 Firefox 创建一个新的配置文件,然后复制一些内容(已保存的登录名/密码、书签等)。
如果您想扮演侦探,请使用受损的配置文件启动 Firefox,并寻找代理或一些未知的附加组件(最好在虚拟机中)。
答案2
这是非加密网页的常见问题。您的 ISP 或您与网站之间的任何其他服务器可能会在传输过程中对其进行修改。您应该考虑以下事项:
- 使用 VPN 来阻止您的 ISP 窥探您的浏览习惯和修改网页内容。
- 使用类似无处不在的 HTTPS确保你在所有支持 HTTPS 的网站上都使用 HTTPS(你甚至可以完全禁用非安全连接)
- 通知网站管理员重新配置他们的服务器仅通过 HTTPS 提供服务.这可以通过高速传输系统以及
301
永久重定向。考虑到我们现在所处的世界,每个网站管理员都应该强制执行这一规定。