6 votes

paragbaxi avatar

Un malware ajoutant du code à ga.js ouvre des publicités/sites web aléatoires ?

Demandé el 22 de Février, 2015
Quand la question a-t-elle été
1708 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Un de mes amis vient de me remettre sa tablette en me disant qu'à chaque fois qu'il ouvre une page web, le navigateur redirige vers plusieurs pages de publicité (ou, il "ajoute" des publicités sur la page).

Cela se produit à la fois sur Chrome et sur le navigateur stock.

J'ai utilisé le débogage USB pour examiner la demande du navigateur et je pense avoir trouvé le coupable. Lorsque le navigateur charge http://www.google-analytics.com/ga.js le code réel est différent. Voir cette capture d'écran (la ligne verte est l'endroit où ga.js devrait terminer) :

enter image description here

(et le code ajouté continue...)

J'ai d'abord pensé qu'un logiciel malveillant avait modifié le fichier hosts et attribué une IP différente au site web de google-analytics, mais ce n'est pas le cas puisque lorsque je visite directement le lien ci-dessus, je vois le code JS correct.

Comment puis-je savoir quelle application fait ça ?

Demandé el 22 de Février, 2015 par paragbaxi

Réponses

Trop de publicités?

4voto

Stephane Zaleski avatar
Stephane Zaleski Points 1

J'ai rencontré la situation ci-dessus hier. Après de nombreuses recherches, je suis arrivé à ce fil de discussion, qui m'a conduit à la solution.

Apparemment, l'un des ordinateurs du réseau que j'ai visité, a été exposé à un malware qui a modifié les paramètres du routeur. Le routeur était un D-Link 2760U/E par défaut Admin / Admin les détails de connexion.

En utilisant les informations d'identification ci-dessus, le logiciel malveillant susmentionné a modifié les "tables de routage statique" en ajoutant ses serveurs pour être un homme au milieu. Tous Le trafic non SSL était passé par leur service qui a injecté du js dans la page. J'ai trouvé un GitHub page qui montre les modifications et les ajouts.

Il m'a fallu un certain temps pour comprendre que tout le trafic provenait d'une attaque par changement de DNS - j'ai vérifié que l'ordinateur est totalement propre et qu'aucun processus/service inconnu ne tourne avant et pendant le test.

L'une des choses qu'ils ont faites est de rediriger tout google-analytics.com le trafic vers leur serveur, les gardant sous le radar.

Alors comment le résoudre :

C'est rapide :

Réinitialisez votre routeur aux paramètres d'usine - notez que cela effacera tous les paramètres existants.

Un long chemin :

  1. Connectez-vous à l'interface web du routeur
  2. Supprimez toutes les entrées inconnues des tables de routage statique.
  3. Changez votre mot de passe de connexion au routeur
  4. Redémarrez votre routeur.

J'espère que ce billet pourra aider quelqu'un.

Regards,
Liron

Répondu el 18 de Juillet, 2015 par Stephane Zaleski (1 Points )

2voto

stevec avatar
stevec Points 121

Ce site pourrait être causée par DNSChanger mais il est mort maintenant, il est donc possible que ce soit causé par un autre type de logiciel malveillant qui modifie les paramètres DNS d'un ordinateur (ou d'un routeur). . Ou peut-être que le routeur était exposé au web (voir gestion à distance ) et quelqu'un a pu le pirater et changer ses paramètres DNS. .

Si le même problème affecte tous les appareils (y compris les PC) connectés au réseau Wi-Fi, je pense qu'il faut réinitialiser le routeur et effectuer une recherche de logiciels malveillants sur tous les PC connectés au réseau. Vous pouvez utiliser Malwarebytes Anti-Malware pour ça.

Sur l'appareil Android, effacez les données et le cache de Google Chrome une fois que le routeur a été réinitialisé et que la recherche de logiciels malveillants est terminée. Ce fil de discussion sur Google Product Forums pourraient être pertinents pour la question.

Pour vérifier s'il s'agit bien d'un problème de détournement de DNS, essayez de lancer le programme suivant nslookup google-analytics.com de l'ordinateur infecté (ou de l'appareil Android si BusyBox est installé) et comparez les résultats de la même commande exécutée depuis un autre ordinateur que vous savez propre.

Vérifiez s'ils renvoient tous deux les mêmes adresses IP ou, dans le cas de Google, des adresses IP contrôlées par Google. Vous pouvez vérifier si une IP donnée est celle de Google ou non en faisant un WHOIS regardez ici : http://whois.domaintools.com/X.X.X.X (x.x.x.x étant l'adresse IP)

Répondu el 24 de Février, 2015 par stevec (121 Points )

1voto

paragbaxi avatar
paragbaxi Points 687

En fin de compte, j'ai découvert que le routeur était vulnérable à la vulnérabilité de rom-0 (pour tester si votre routeur est vulnérable, utilisez ce ).

Ainsi, le problème a très probablement été causé par quelqu'un (ou quelque chose) qui avait un accès complet à l'interface d'administration du routeur. J'ai maintenant mis à jour le firmware (et le test est maintenant négatif).

Répondu el 27 de Avril, 2015 par paragbaxi (687 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X