De repente, o anúncio aparece no topo de quase todas as páginas

Desde esta manhã, um anúncio estranho aparece no topo de muitas páginas que abro no navegador da web (veja a captura de tela no final). Está acontecendo em qualquer navegador (FF, IE e Chrome testado), em qualquer uma das três máquinas em nossa casa, mesmo no iPhone (não importa se conectado à rede Wi-Fi ou celular [não é verdade no final, veja minha resposta ]) . Mesmo no sistema Debian executado no VMWare.

Às vezes, os anúncios não aparecem no Firefox, mas no IE. Às vezes, eles não aparecem no iPhone quando conectados no celular, mas aparecem quando conectados no Wi-Fi. Mas principalmente eles aparecem em qualquer caso. Em algumas páginas, o problema corrompe uma renderização de página.

O anúncio é idêntico em todos os casos. Os mesmos banners em árvore, exceto o banner da Amazon que altera o produto. No iPhone, o banner da Amazon não carrega. Em algumas páginas, o conjunto de anúncios se repete duas ou mais vezes.

Algumas das páginas com as quais o problema está acontecendo:

• superuser.com (qualquer site do SE)
• instagram.com
• pinterest.com
• ask.com (os anúncios são exibidos duas vezes)
• bbc.com

Não está acontecendo em:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(embora as listas possam ser afetadas pelo componente aleatório do problema).

Os anúncios são renderizados pelo código HTML injetado logo após uma <body>tag de abertura . O código não está presente no próprio HTML. Mas eu posso ver, ao inspecionar a página nas ferramentas de desenvolvimento do navegador (por exemplo, a ferramenta Inspector no Firefox), portanto é provável que seja gerada por algum JavaScript. O código está anexado no final desta postagem. Depois que a página é renderizada, o navegador começa a se conectar ao 85.25.138.211.

Não tenho plugins indesejados no (s) navegador (s). Também não identifiquei nenhum adware / malware em minhas máquinas. Eu nem esperava isso, pois o problema também ocorre no iPhone.

Parece que fui hackeado. Mas não consigo imaginar como esse hack funcionaria, pois afeta diferentes sistemas (Windows, iOS, Debian). Considerei ter hackeado o roteador, mas também não parece provável, pois o problema persiste mesmo quando eu desconecto o iPhone do Wi-Fi. Eu considerei que alguém explorou algum bug na biblioteca JavaScript que todas as páginas afetadas compartilham. Mas, nesse caso, a questão seria generalizada, não apenas acontecendo comigo. Mas não consegui encontrar nenhum relato desse problema por mais ninguém [não é verdade no final, veja minha resposta ].

Alguém tem alguma idéia, por que isso está acontecendo?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Após muitos testes, percebi que o problema está acontecendo na rede celular apenas por causa do cache. Depois de limpar um cache ( Limpar histórico e dados do site ) e atualizar, o problema desapareceu. E reapareceu apenas depois de se conectar novamente ao Wi-Fi.

Isso tornou óbvio que o problema é devido a um roteador comprometido, o Edimax AR-7265WNB. Redefinir o roteador para as configurações de fábrica e reconfigurar corrigiu o problema.

Não encontrei a versão mais recente do firmware do roteador que a que tenho (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Embora eu tenha descoberto que o firewall do roteador estava desligado. Na verdade, o roteador se redefiniu algumas semanas atrás. Ao reconfigurá-lo, provavelmente esqueci de ativar o firewall (na verdade, eu esperaria que o firewall estivesse ativado por padrão).

O problema parece mundial agora (outros relatórios aqui e aqui , outros foram excluídos), contrariamente à minha afirmação na questão. Isso sugeriria a exploração remota de alguma vulnerabilidade do roteador (suportada por um problema de firewall), em vez de uma invasão local ao Wi-Fi. Os outros relatam tipos diferentes de roteadores ( D-Link DSL-2600U , TP-Link), portanto, o problema não é específico do Edimax.

Os outros relatórios mencionam que as configurações de DNS ou proxy foram modificadas. Não verifiquei isso antes de redefinir meu roteador. Mas é possível que meu roteador tenha sido modificado dessa maneira, pois o firewall estava desligado. Também explica a injeção de código em qualquer página sem a necessidade de qualquer exploração específica do roteador. Portanto, o invasor possivelmente varre a Internet em busca de roteadores não seguros e simplesmente os configura para apontar para o proxy do invasor.

Percebi há cerca de dois dias que eu estava recebendo exatamente os mesmos anúncios em vários dispositivos (laptop, smartphone Android e Nexus 7). Quando limpo todos os caches do navegador e me conecto a uma rede celular, os anúncios param, mas depois que eu me conecto ao wi-fi, eles voltam.

Acabei trocando o servidor DNS em todas as minhas conexões para o 8.8.8.8 do google e os anúncios pararam de voltar em todos os dispositivos.

Portanto, o roteador ou o servidor DNS do ISP está comprometido é o meu melhor palpite.

editar: o mesmo que Como remover anúncios indesejados na parte superior dos sites?

Você provavelmente tem algum spyware (muito fácil de baixar acidentalmente, mas geralmente bastante fácil de remover, se você souber o que fazer).

Você precisará baixar um desinstalador mais poderoso, a desinstalação do Windows não o removerá.

Faça o download do IOBitUNinstaller . Agora você terá que analisar todos os arquivos (no iobit) e identificar qual programa você não reconhece ou parece 'suspeito', uma rápida pesquisa no Google (se não tiver certeza) revelará se é um malware.

Você também pode selecionar a desinstalação em lote (opção superior direita no iobit), que permite selecionar vários programas para desinstalar - e, é claro, fazer uma varredura profunda e remover tudo o que encontrar.