chrome 和 firefox 上的弹出广告病毒
mum*_*umi 9 rootkit malware popup-ads 14.04
无论我打开什么网站,都会出现一个弹出式广告框。尝试重置设置,禁用扩展程序,删除 chrome 上的所有用户。
似乎这与 chrome 无关,因为同样的事情也发生在 Firefox 上,我以前甚至没有打开过。
我怀疑它可能与我最近添加的一些存储库有关,即使有怎么办?
让我描述一下弹出窗口,因为我没有足够的声誉而无法上传图像。它把自己放在页面的中间而不是那么大。不随页面的其余部分移动,在滚动页面时停留。里面有时会有谷歌广告。AdBlock 会阻止内容,但不会阻止弹出窗口本身。
检查元素的结果:
<div id="thisisonesplashforclicktocloseidhere" style=
"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
<iframe frameborder="0" height="0" scrolling="no" src=
"http://guzelyemek.com/reklam.html?gads_300x250" style=
"display: none !important; visibility: hidden !important; opacity: 0 !important;"
width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>
chrome://plugins:
注意:使用 AdBlock Plus 可以阻止它。我只是将盒子的 div 的 id 添加到过滤器列表中,但这只是治愈了症状,而不是实际的疾病。于是旅程继续。
关于使用 ClamTk 进行扫描: 它发现了一些 1732 威胁,其中大部分(我的意思是几乎所有)由 Windows 文件和有趣的 ClamAV 自己的一些文件组成。只有有意义的条目是这些:
/usr/lib/shim/shim.efi/usr/lib/shim/shim.efi.signed/boot/efi/EFI/ubuntu/shimx64.efi/boot/efi/EFI/ubuntu/MokManager.efi/home/mumi/.cache/mozilla/firefox/50ug9xkr.default/cache2/entries/35CD2F7BA91E394C584FB72D214090559CC987F8
我刚刚删除了 Firefox 的东西,但不认为其他东西是有害的。
好的,我从 Firefox 调试器工具的源选项卡中发现了这个可疑代码:
f (window==window.top) {
function hideADSnow() {
document.getElementById('thisisonesplashforclicktocloseidhere').style.display='none';
document.getElementById('thisisonesplashforclicktocloseidhere').innerHTML =' ';
}
var writeNow="";
writeNow += "<div style=\"position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;\" id=\"thisisonesplashforclicktocloseidhere\">";
writeNow += "<iframe src=\"http:\/\/habermatich.com\/gads\/show_ads.php?format=gads_300x250\" width=\"300px\" height=\"250px\" frameBorder=\"0\" scrolling=\"no\"><\/iframe>";
writeNow += "<a href=\"javascript:hideADSnow()\" id=\"clickonME\" style=\"position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http:\/\/3.bp.blogspot.com\/-2pNyEIhTbiU\/UWJ-FMsZktI\/AAAAAAAAUKg\/3FPcPp0CNko\/s1600\/close-button.png) no-repeat top left;\"><\/a>";
writeNow += "<\/div>";
try {
var checkIs = document.getElementById('ads_boxy');
} catch(err) {
var checkIs = null;
}
if (checkIs == null) {
var adsbox = document.createElement('div');
adsbox.id = 'ads_boxy';
document.body.appendChild(adsbox);
}
var checkIs = document.getElementById('ads_boxy');
checkIs.innerHTML = writeNow;
}
即使尝试从一开始就安装 Ubuntu,它也存在。
这个人似乎和我有同样的问题。
我怀疑这是某种形式的根工具包,但双方rkhunter并chkrootkit没有发现任何东西。也许它是一个新的根工具包。
我尝试了另一个路由器,但没有运气。多次重启路由器没有帮助。它不再显示在网络上的 Windows 机器上或我机器上的 Windows 上(它是双引导系统),但我至少在两者上都看到过一次。我想我现在只有一种选择。
由于您在评论中提到网络上的另一台计算机开始出现同样的问题,很可能是您的路由器设置被更改或路由器被感染(是的,这是可能的)。事实上,您的问题与security.stackexchange.com上的这篇文章非常相似。FIY,您可能想在这种情况下使用该站点,因为有更多人处理此类问题。
好,回到问题。如果您稍微研究一下,您会发现路由器的一个非常常见的问题是 DNS 设置被更改。路由器也有更严重的恶意软件。DNS 服务器基本上是一个翻译器:由于计算机只处理数字,当您在浏览器中输入“google.com”时,您的计算机会向 DNS 服务器发送请求,说“嘿,google.com 的 IP 地址是什么?”。他身边的 DNS 服务器查看数据库,并找到属于 google.com 的 IP。现在,如果您的路由器的 DNS 设置发生更改,请求将发送到一个虚假的 DNS 服务器,该服务器会将您重定向到虚假网站或看起来像真实内容但带有恶意软件的网站。
可以做的是:
访问路由器的设置,并检查 DNS 设置是否已更改。您通常可以通过在 Firefox 或任何其他浏览器的地址栏中输入 192.168.0.1 来访问它们,它应该会打开一个包含各种路由器设置的页面(阅读路由器手册以确保地址正确)。但是,如果您以前从未查看过这些设置,则可能很难确定某些内容是否已更改。另外,看看是否有任何路由设置发生了变化,或者你在那里看到了一些可疑的东西。
将路由器重置为默认设置。同样,这可以通过 192.168.0.1 完成。这可能在“高级选项”下,但可以搜索设置或阅读手册。好主意是在将设置更改回默认值后重新启动路由器以确保其生效。如果这有帮助并且在任何一台机器上都不再出现弹出窗口,请将路由器的管理员密码更改为比以前更强大的密码,另外还可以更改 wifi 密码(WPA PSK 或您正在使用的任何密码)。
- 换个新路由器。您可以自己购买并配置它,也可以联系您的 Internet 服务提供商,说明情况。他们也可能提供更多选择。
除其他外,在这种情况下我会做一些小测试。
你提到你通过 wifi 连接并在那里有 Windows 文件。那么它是笔记本电脑吗?你双启动?尝试将其带到另一个网络,看看弹出窗口是否仍然存在。如果它没有出现在另一个网络上——那肯定是你的路由器。
它是否显示在 Windows 中?如果是路由器,它绝对与操作系统或浏览器或类似的东西无关。
在 Ubuntu 中更改 DNS 设置。问题是默认情况下 Ubuntu 的网络管理器会让 dnsmaq 插件决定要使用的 DNS(通常它是您的互联网服务提供商的)。现在,无论互联网服务提供商提供什么,您都可以使用自己的 DNS。为此 - 打开右侧角落的网络管理器指示器并转到编辑连接。选择网络,然后单击“编辑”按钮。转到 IPv4 选项卡,将下拉菜单从“自动 (DHCP)”更改为“仅自动 (DHCP) 地址”,然后 DNS 服务器在其中输入您喜欢的任何 DNS 服务器。您可以选择 8.8.8.8(Google 的公共 DNS)。我使用 OpenDNS(208.67.222.222)。这些都是众所周知和值得信赖的。然后打开终端并键入
sudo nano /etc/NetworkManager/NetworkManager.conf并将行更改dns=dnsmasq为#dns=dnsmasq. 使用 Ctrl+O 保存文件并使用 Ctrl+X 退出。现在您可以执行sudo service network-manager restart或简单地重新启动计算机。我宁愿重新启动。再次连接到您的网络,并在终端类型中准备就绪nm-tool | tail。它应该确认您正在使用您选择的 DNS。如果弹出窗口不存在此类设置 - 绝对是路由器的 DNS 问题。因为我已经在我的其他职位描述的步骤,我经过这里了一样在这里
这就对了。我绝不是计算机安全专家,所以这篇文章中的所有内容都是我能建议的最好的。祝你好运!让我们知道这是否有帮助,或者您最终是如何解决问题的。