Iklan tiba-tiba muncul di atas hampir setiap halaman

Sejak pagi ini iklan aneh muncul di atas banyak halaman yang saya buka di webbrowser (lihat screenshot di bagian akhir). Ini terjadi di peramban apa pun (FF yang diuji, IE dan Chrome), di salah satu dari tiga mesin di rumah tangga kami, bahkan di iPhone (tidak masalah jika terhubung pada Wi-Fi atau jaringan seluler [pada akhirnya, lihat jawaban saya ]) . Bahkan pada sistem Debian berjalan di VMWare.

Terkadang iklan tidak muncul di Firefox, tetapi muncul di IE. Terkadang mereka tidak muncul di iPhone saat terhubung pada seluler, tetapi muncul saat terhubung pada Wi-Fi. Tetapi sebagian besar mereka muncul dalam hal apapun. Pada beberapa halaman, masalahnya merusak rendering halaman.

Iklan identik dalam setiap kasus. Spanduk pohon yang sama, kecuali spanduk Amazon yang mengubah produk. Pada iPhone, spanduk Amazon tidak dimuat. Pada beberapa halaman, serangkaian iklan diulang dua kali atau lebih.

Beberapa halaman masalah yang terjadi dengan:

• superuser.com (situs SE apa saja)
• instagram.com
• pinterest.com
• ask.com (iklan muncul dua kali)
• bbc.com

Tidak terjadi pada:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(meskipun daftar dapat dipengaruhi oleh komponen acak masalah).

Iklan-iklan diberikan oleh kode HTML yang disuntikkan tepat setelah <body>tag pembuka . Kode tidak ada dalam HTML itu sendiri. Tapi saya bisa melihatnya, ketika memeriksa halaman di alat dev browser (misalnya alat Inspektur di Firefox), sehingga kemungkinan dihasilkan oleh beberapa JavaScript. Kode terlampir di akhir posting ini. Setelah halaman merender, browser mulai terhubung ke 85.25.138.211.

Saya tidak memiliki plugin yang tidak diinginkan di browser. Saya juga tidak mengidentifikasi adware / malware di mesin saya. Saya bahkan tidak berharap itu, karena masalah terjadi pada iPhone juga.

Rasanya seperti saya diretas. Tetapi saya tidak dapat membayangkan bagaimana peretasan tersebut akan bekerja, karena ini mempengaruhi sistem yang berbeda (Windows, iOS, Debian). Saya dianggap telah meretas perute, tetapi sepertinya tidak juga karena masalah tetap ada meskipun saya memutuskan sambungan iPhone dari Wi-Fi. Saya menganggap bahwa seseorang mengeksploitasi beberapa bug di perpustakaan JavaScript yang dibagikan oleh semua halaman yang terpengaruh. Tetapi dalam kasus itu masalahnya akan tersebar luas, tidak hanya terjadi pada saya. Tetapi saya tidak dapat menemukan laporan masalah seperti itu oleh orang lain [pada akhirnya tidak benar, lihat jawaban saya ].

Adakah yang tahu, mengapa ini terjadi?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Setelah banyak tes, saya menyadari bahwa masalah yang terjadi pada jaringan seluler hanya karena caching. Setelah mengosongkan cache ( Bersihkan Riwayat dan Data Situs Web ) dan menyegarkan, masalahnya hilang. Dan itu muncul kembali hanya setelah menghubungkan kembali ke Wi-Fi.

Ini membuatnya jelas bahwa masalahnya adalah karena router yang dikompromikan, Edimax AR-7265WNB. Mengatur ulang router kembali ke pengaturan pabrik dan mengkonfigurasi ulang memperbaiki masalah.

Saya tidak menemukan versi firmware router yang lebih baru dari yang saya miliki (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Meskipun saya telah menemukan bahwa firewall pada router dimatikan. Sebenarnya router me-reset sendiri beberapa minggu yang lalu. Ketika mengkonfigurasi ulang, saya mungkin lupa untuk mengaktifkan firewall (sebenarnya saya akan mengharapkan firewall menyala secara default).

Masalahnya tampaknya di seluruh dunia sekarang (laporan lain di sini dan di sini , beberapa lainnya telah dihapus), bertentangan dengan klaim saya dalam pertanyaan. Itu akan menyarankan eksploitasi jarak jauh dari beberapa kerentanan router (didukung oleh masalah firewall), daripada peretasan lokal ke Wi-Fi. Yang lain melaporkan berbagai jenis router ( D-Link DSL-2600U , TP-Link), sehingga masalah ini tidak spesifik untuk Edimax.

Laporan lain menyebutkan bahwa pengaturan DNS atau proxy telah dimodifikasi. Saya tidak memeriksa ini sebelum mengatur ulang router saya. Tetapi mungkin saja router saya dimodifikasi dengan cara ini, karena firewall dimatikan. Juga menjelaskan kode injeksi di halaman mana pun tanpa perlu eksploit khusus router. Jadi penyerang mungkin memindai internet untuk mencari router yang tidak aman dan hanya mengkonfigurasi mereka untuk menunjuk ke proxy penyerang.

Saya perhatikan sekitar 2 hari yang lalu saya mendapatkan iklan yang sama persis di beberapa perangkat (laptop, smartphone android dan Nexus 7). Ketika saya menghapus semua cache browser dan terhubung ke jaringan seluler, iklan berhenti, tetapi begitu saya terhubung ke wi-fi mereka kembali.

Saya akhirnya beralih server DNS pada semua koneksi saya ke Google 8.8.8.8 dan iklan berhenti datang kembali di setiap perangkat.

Jadi router atau server DNS ISP terganggu adalah tebakan terbaik saya.

edit: Sama seperti Bagaimana cara saya menghapus iklan yang tidak diinginkan di atas situs?

Kemungkinan besar Anda memiliki beberapa spyware (sangat mudah untuk diunduh secara tidak sengaja, tetapi biasanya cukup mudah untuk dihapus, jika Anda tahu apa yang harus dilakukan).

Anda harus mengunduh unistaller yang lebih kuat, menghapus instalan windows tidak akan menghapusnya.

Unduh IOBitUNinstaller . Sekarang Anda harus memeriksa setiap file (di iobit) dan mengidentifikasi program apa yang tidak Anda kenali atau tampak 'mencurigakan', pencarian google cepat (jika tidak yakin) akan mengungkapkan apakah itu malware.

Anda juga dapat memilih uninstall batch (opsi kanan atas pada iobit), yang memungkinkan Anda memilih beberapa program untuk dihapus - dan tentu saja, biarkan ia melakukan pemindaian mendalam dan menghapus semua yang ditemukannya.