Реклама внезапно появляется почти на каждой странице

С этого утра на многих страницах, которые я открываю в веб-браузере, появляется странная реклама (см. Скриншот в конце). Это происходит в любом браузере (проверено FF, IE и Chrome), на любой из трех машин в нашем доме, даже на iPhone (независимо от того, подключен ли он к Wi-Fi или сотовой сети [не соответствует действительности, см. Мой ответ ]) , Даже на Debian система запускается в VMWare.

Иногда реклама не появляется в Firefox, но появляется в IE. Иногда они не отображаются на iPhone при подключении по сотовой сети, но появляются при подключении по Wi-Fi. Но в основном они появляются в любом случае. На некоторых страницах проблема повреждает рендеринг страницы.

Реклама идентична в каждом случае. То же дерево баннеров, за исключением баннера Amazon, меняющего товар. На iPhone не загружается баннер Amazon. На некоторых страницах набор объявлений повторяется два и более раз.

Некоторые страницы, с которыми возникает проблема:

• superuser.com (любой сайт SE)
• instagram.com
• pinterest.com
• ask.com (реклама появляется дважды)
• bbc.com

Не происходит на:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(хотя на списки может влиять случайный компонент проблемы).

Реклама отображается с помощью HTML-кода, вставленного сразу после открывающего <body>тега. Код не присутствует в самом HTML. Но я вижу это при проверке страницы в инструментах разработчика браузера (например, в инструменте Inspector в Firefox), поэтому она, вероятно, генерируется некоторым JavaScript. Код прилагается в конце этого поста. После рендеринга страницы браузер начинает подключаться к 85.25.138.211.

У меня нет никаких нежелательных плагинов в браузере (ах). Также я не обнаружил никаких рекламных / вредоносных программ на моих компьютерах. Я даже не ожидал, что проблема возникает и на iPhone.

Такое ощущение, что меня взломали. Но я не могу представить, как будет работать такой взлом, поскольку он влияет на разные системы (Windows, iOS, Debian). Я рассмотрел возможность взлома роутера, но это также маловероятно, так как проблема сохраняется, даже когда я отключаю iPhone от Wi-Fi. Я считал, что кто-то использовал какую-то ошибку в библиотеке JavaScript, которую разделяют все затронутые страницы. Но в этом случае проблема будет широко распространена, а не только со мной. Но я не смог найти ни одного сообщения о такой проблеме кем-либо еще [в конце концов, это неправда, см. Мой ответ ].

У кого-нибудь есть идеи, почему это происходит?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

После многих тестов я понял, что проблема происходит в сотовой сети только из-за кеширования. После очистки кэша ( Очистить историю и данные веб-сайта ) и обновления проблема исчезла. И он появился снова только после подключения к Wi-Fi.

Это сделало очевидным, что проблема связана с скомпрометированным маршрутизатором Edimax AR-7265WNB. Сброс роутера до заводских настроек и перенастройка устранили проблему.

Я не нашел более новую версию прошивки маршрутизатора, чем у меня (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Хотя я обнаружил, что брандмауэр на маршрутизаторе отключен. На самом деле роутер перезагрузился сам несколько недель назад. При его перенастройке я, вероятно, забыл включить брандмауэр (на самом деле я ожидал, что он включен по умолчанию).

Проблема, кажется, во всем мире (другие сообщения здесь и здесь , некоторые другие были удалены), вопреки моему утверждению в вопросе. Это предполагает удаленное использование некоторой уязвимости маршрутизатора (поддерживаемой проблемой брандмауэра), а не локальный взлом Wi-Fi. Другие сообщают о различных типах маршрутизаторов ( D-Link DSL-2600U , TP-Link), поэтому проблема не относится к Edimax.

В других отчетах упоминается, что настройки DNS или прокси были изменены. Я не проверял это до перезагрузки моего роутера. Но возможно, что мой маршрутизатор был изменен таким образом, поскольку брандмауэр был отключен. Кроме того, он объясняет внедрение кода на любой странице без необходимости использования эксплойта для конкретного маршрутизатора. Таким образом, злоумышленник, возможно, сканирует Интернет на наличие любых незащищенных маршрутизаторов и просто настраивает их так, чтобы они указывали на прокси-сервер злоумышленника.

Я заметил, что около 2 дней назад я получал одинаковую рекламу на нескольких устройствах (ноутбук, Android-смартфон и Nexus 7). Когда я очищаю все кеши браузера и подключаюсь к сотовой сети, реклама прекращается, но как только я подключаюсь к Wi-Fi, они возвращаются.

Я закончил тем, что переключил DNS-сервер на всех моих соединениях на Google 8.8.8.8, и реклама перестала возвращаться на каждом устройстве.

Так что мой маршрутизатор может быть скомпрометирован либо маршрутизатором, либо DNS-сервером интернет-провайдера.

Изменить: То же, что и Как я могу удалить нежелательную рекламу на сайтах?

Скорее всего, у вас есть некоторые шпионские программы (их очень легко случайно загрузить, но обычно довольно легко удалить, если вы знаете, что делать).

Вам нужно будет скачать более мощный unistaller, удаление Windows не удалит его.

Скачать IOBitUNinstaller . Теперь вам придется просмотреть каждый файл (на iobit) и определить, какую программу вы не распознаете или покажете «подозрительной», быстрый поиск в Google (если не уверен) покажет, является ли его вредоносным.

Вы также можете выбрать пакетное удаление (опция справа вверху на iobit), что позволит вам выбрать несколько программ для удаления - и, конечно, позволить ему выполнить глубокое сканирование и удалить все, что найдет.