我的 ISP 正在向我访问的每个网站注入奇怪的代码

信息安全 网页浏览器 javascript
2021-09-02 20:58:43

这是每一页底部的代码:

<script type="text/javascript">if(self==top){var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");var idc_glo_r = Math.floor(Math.random()*99999999999);document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");document.write("?id=1");document.write("&amp;enc=telkom2");document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGdzujsIEimxj4UPJYe9kNVgJGL7lyzhXKfrFGnoI%2b0vRYDgH9e8pX4n5Ajpp2c31FAwDlsLBVPPzlithe%2b39AiTY5lcCtK5vmMReu6wh%2bDE9aF7GU5vhghexF8DVA5RGi1nSH%2b4LUQNJ2rgvBZQRGaRUEas7vndUsAU7ZB2kVVd21uWsDGzo5RfMV2LGQF5uvtQQLl0Ism%2f7TwrUdQb5rPOdOsuSNgCzf7cTnxOizeAF5TqCrR5TPbRFuCEbu1j0vYkDTFuj9EdyZbRxAaO9KaZ1VpIEUKC3XEDAXKf0X3XDCyG3gvQoMWun2ueK8dLkFXlxSf9N4HI19gTZgGjR6Yc6QWGdE220AehWZepv%2bai9rUvHBo8xGo5pesp2qLykCKOPvJaq0IlaAunmzO0iLn9hkvy%2bl3BA8crhs3KdFymg9sCqjZ016F5XxGxpvEP64Se5R%2fSVPWjmyrXRo0Hj%2fR5W2wmR5oVAqGo6XAIYvQPj%2fay6rRypz%2fdDgohPBqd3g9wGYkzKmh9CjDSiozL4BrH2xmRhjAwbe9WTBc%2f45LdcqT4sjgnuTFy");document.write("&amp;idc_r="+idc_glo_r);document.write("&amp;domain="+document.domain);document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);document.write("></scr"+"ipt>");}</script><noscript>activate javascript</noscript>

重新格式化代码以提高可读性:

<script type="text/javascript">
if (self==top) 
{
    var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");
    var idc_glo_r = Math.floor(Math.random()*99999999999);

    document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");
    document.write("?id=1");
    document.write("&amp;enc=telkom2");

    document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGdzujsIEimxj4UPJYe9kNVgJGL7lyzhXKfrFGnoI%2b0vRYDgH9e8pX4n5Ajpp2c31FAwDlsLBVPPzlithe%2b39AiTY5lcCtK5vmMReu6wh%2bDE9aF7GU5vhghexF8DVA5RGi1nSH%2b4LUQNJ2rgvBZQRGaRUEas7vndUsAU7ZB2kVVd21uWsDGzo5RfMV2LGQF5uvtQQLl0Ism%2f7TwrUdQb5rPOdOsuSNgCzf7cTnxOizeAF5TqCrR5TPbRFuCEbu1j0vYkDTFuj9EdyZbRxAaO9KaZ1VpIEUKC3XEDAXKf0X3XDCyG3gvQoMWun2ueK8dLkFXlxSf9N4HI19gTZgGjR6Yc6QWGdE220AehWZepv%2bai9rUvHBo8xGo5pesp2qLykCKOPvJaq0IlaAunmzO0iLn9hkvy%2bl3BA8crhs3KdFymg9sCqjZ016F5XxGxpvEP64Se5R%2fSVPWjmyrXRo0Hj%2fR5W2wmR5oVAqGo6XAIYvQPj%2fay6rRypz%2fdDgohPBqd3g9wGYkzKmh9CjDSiozL4BrH2xmRhjAwbe9WTBc%2f45LdcqT4sjgnuTFy");

    document.write("&amp;idc_r="+idc_glo_r);
    document.write("&amp;domain="+document.domain);
    document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);
    document.write("></scr"+"ipt>");
}
</script>
<noscript>activate javascript</noscript>

据我所知,这些脚本会导致:
1. 广告出现在页面顶部。
2.另一个脚本,看起来像这样:(我认为它来自所有的document.write

<script type="text/javascript" src="http://cfs.u-ad.info/cfspushadsv2/request?id=1&enc=telkom2&params=4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNd2cIJOj4fGd5RLjWCROmlHIy48LIQTADgF3HH0Ey1rugHzqHqlMdHhjWGhSoLYV7pNQv4xROBLa3av9%2fC4NiY3j2JGTEsNtntuZbGJY6AcrFAxBU%2bl2v%2fP7UmpGL4oPTkrnZHz2siuHgJObfiz9o2uFZcO0r5u9yM9Hb9%2fxVMO5q2x880snCrSpl0W78pEGN9bkMf0L3sntEalc9JCGeOgb0Sq8Na%2bsPstohxMNLoxwUZzykryNagI6%2f97%2foigL7WlQibMgu7KLaJuvZRRYZAe56XBzGCV0Dd8hZMaqNSy%2bsf6U%2fGFtjczEXqcbHmTYb9CN%2fM%2bBp85oqvoYceLPyxOEvGtM%2f3cZitomHRmFvN5Iczk%2fAhExnvnRD1PulZ1mM7ESsBXyW3MVYIPD5IgxsP0pakjCfcJVA7PWyrNPt2MdgS%2bEeBDVs6vwiFe4pvuYzp%2f7xQfwQCEp%2fzYMYURDk147O8N8xLBb0GAw7j2%2bleN0JEJdAN8cPFMleFkkswZJQ9pozHFOUKaICQr3f27Qe4dh5ZOeWx%2fug&idc_r=89214501948&domain=sparklingchix.com&sw=1920&sh=1080"></script>

如果您访问 URL:http ://cfs.u-ad.info/cfspushadsv2 。
是“Push Ads Management System”2.0
3版的登录页面。在最下面有一个iframe类似这样的页面:(注意,它还发送了一个我正在查看的网站的域名) 

<div id="pushstat" style="visibility:hidden;height:0;width:0">
    <iframe src="http://stat01.u-ad.info/push.stat/stackoverflow.com"></iframe>
</div>

生成的 iframe 包含一个Google Analytics 脚本
(以 开头的那个function(i,s,o,g,r,a,m)

我的问题:

  1. 所有这些是什么意思?他们只是想展示广告,还是想收集我的浏览统计信息?
  2. 我怎样才能阻止它?

附加信息:我住在印度尼西亚。

4个回答

如果您访问 https:// 页面并且代码仍然存在,则它是本地恶意软件注入代码或配置的代理。您的 ISP 无法将其自己的 html 代码注入 https:// 连接(除非出于某些非常奇怪的原因,它们充当您接受 ssl 证书的 http 代理)。

你确定是你的ISP?它可能是在您的系统上运行的恶意程序吗?

您可以尝试在某个地方获取 Linux LiveCD,启动它,然后查看代码注入是否仍然存在。

如果您看到注入的代码,几乎可以肯定是您的 ISP 这样做了。您可以查看您签署的合同,如果您没有看到与代码注入许可相关的任何内容,我认为您可以起诉您的 ISP。

如果您不再看到注入的代码,则可能是您的系统已被入侵。有人说你可以清理系统并保持运行,所以你可以试试。下载一些清理工具,删除您的浏览器配置文件,然后重试。如果它不起作用,请备份所有内容,核对系统并从头开始重新安装。

这真的很有趣。我以前从未见过 ISP 使用过这个。

您确定任何连接到 LAN 的设备都没有受到恶意软件的攻击吗?

如果它真的是您的 ISP,我会像 @Eric G 推荐的那样阅读您的 TOS(服务条款)。如果您在法律上被允许阻止它,那么:

方法一:

  • 使用@Eric G 推荐的代理。如果您使用端口 80 和 443 并且代码仍然被注入,请尝试使用非标准 HTTP/HTTPS 端口。好像您的 ISP 将代码注入其他端口会导致错误(例如:假设您在端口 1000 上玩游戏并且代码已被注入,那么游戏服务器将无法理解您的请求。)您的 ISP 可能更先进的技术通过使用协议检测,然后将代码注入任何被检测为 HTTP/HTTPS 的端口。

方法二:

  • 如果出现 *.u-ad.info 和任何其他 DNS 条目,请使用防火墙阻止它们。
  • 可选择删除插入的代码:使用数据包编辑器,例如 WPE PRO。如果您熟悉 Windows 内部结构和您的程序员,那么您甚至可以在应用程序处理之前使用内存绕道和过滤掉。(如果您希望我扩展关于使用弯路的答案,请在评论中告诉我)

如果他们将脚本注入每个页面,这将表明他们可能正在跟踪您,可能正在做广告等。他们正在执行他们的代码,并且由于它是动态加载的,因此他们可能会随时改变他们正在做什么以及何时做的事情。

在阻止部分,您需要查看您的 ISP 服务条款以及可能的有关阻止或修改此代码注入的政府法规。

如果允许,您可能希望完全绕过您的 ISP,使用代理/VPN 从更受信任的来源(或至少一个没有主动将代码注入您的页面的来源)开始连接到 Internet。您可能还想尝试使用TOR

在更本地的浏览器/计算机上,您可能想要禁用 JavaScript(这可能会破坏很多网站)或尝试某种类型的本地代理或阻止工具,例如PrivoxyNoScript您可以研究其他“代理”、“阻止程序”或“代理”,然后可以对其进行编程和自定义,以将运行或从特定服务器加载内容的脚本列入白名单或黑名单。

其它你可能感兴趣的问题
上一篇物理攻击者能否通过 UEFI、安全启动和 bitlocker 破坏 Windows 机器? 下一篇在服务器上发现混淆的 php 代码