Publicité apparaissant soudainement sur presque toutes les pages

Depuis ce matin, une étrange publicité apparaît au-dessus de nombreuses pages que j'ouvre dans le navigateur Web (voir capture d'écran à la fin). Cela se produit dans n'importe quel navigateur (testé FF, IE et Chrome), sur l'une des trois machines de notre foyer, même sur iPhone (peu importe s'il est connecté au Wi-Fi ou au réseau cellulaire [ce n'est pas vrai à la fin, voir ma réponse ]) . Même sur un système Debian exécuté sous VMWare.

Parfois, les annonces n'apparaissent pas dans Firefox, mais apparaissent dans IE. Parfois, ils n'apparaissent pas sur l'iPhone lorsqu'ils sont connectés sur un téléphone cellulaire, mais apparaissent lorsqu'ils sont connectés sur le Wi-Fi. Mais surtout ils apparaissent en tout cas. Sur certaines pages, le problème corrompt un rendu de page.

La publicité est identique dans tous les cas. Les mêmes bannières arborescentes, à l'exception de la bannière Amazon modifiant le produit. Sur iPhone, la bannière Amazon ne se charge pas. Sur certaines pages, l'ensemble d'annonces se répète deux fois ou plus.

Certaines des pages avec lesquelles le problème se produit:

• superuser.com (tout site SE)
• instagram.com
• pinterest.com
• ask.com (les annonces apparaissent deux fois)
• bbc.com

Ne se produit pas sur:

• google.com
• linkedin.com
• youtube.com
• cnn.com
• microsoft.com

(bien que les listes puissent être affectées par une composante aléatoire du problème).

Les annonces sont rendues par du code HTML injecté juste après une <body>balise d' ouverture . Le code n'est pas présent dans le HTML lui-même. Mais je peux le voir, lors de l'inspection de la page dans les outils de développement du navigateur (par exemple, l'outil Inspecteur dans Firefox), il est donc probablement généré par du JavaScript. Le code est joint à la fin de ce post. Une fois la page affichée, le navigateur commence à se connecter à 85.25.138.211.

Je n'ai aucun plugin indésirable dans le (s) navigateur (s). Je n'ai pas non plus identifié d'adware / malware sur ma (mes) machine (s). Je ne m'y attendais même pas, car le problème se produit également sur iPhone.

J'ai l'impression d'avoir été piraté. Mais je ne peux pas imaginer comment un tel hack fonctionnerait, car il affecte différents systèmes (Windows, iOS, Debian). J'ai envisagé de pirater le routeur, mais cela ne semble pas probable non plus, car le problème persiste même lorsque je déconnecte l'iPhone du Wi-Fi. J'ai considéré que quelqu'un exploitait un bogue dans la bibliothèque JavaScript que toutes les pages affectées partagent. Mais dans ce cas, le problème serait généralisé et ne m'arriverait pas seulement. Mais je n'ai pu trouver aucun rapport d'un tel problème par quelqu'un d'autre [ce n'est pas vrai à la fin, voir ma réponse ].

Quelqu'un at-il une idée de pourquoi cela se produit?

<body class="user-page new-topbar" lang="">

    <div align="center">
        <a title="wygladzanie zmarszczek" rel="nofollow" href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659">
            <img alt="wygladzanie zmarszczek" src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659"></img>
        </a>
    </div>
    <div align="center">
        <iframe width="728" height="90" frameborder="0" style="border:none;" marginwidth="0" border="0" scrolling="no" src="http://rcm-na.amazon-adsystem.com/e/cm?t=hsiang-20&o=1&p=48&l=ur1&category=electronicsrot&f=ifr&linkID=BXR7UA243P4D75JE">
            #document
                <html>
                    <head></head>
                    <body>
                        <div id="wrap">
                            <object width="728" height="90" align="middle" codebase="https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000">
                                <!--

                                 Tags used by MSIE Rendering engine 

                                -->
                                <param value="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info" name="movie"></param>
                                <param value="high" name="quality"></param>
                                <param value="transparent" name="wmode"></param>
                                <param value="#FFFFFF" name="bgcolor"></param>
                                <param value="all" name="allowNetworking"></param>
                                <param value="always" name="allowScriptAccess"></param>
                                <!--

                                 Tags used by Mozilla Rendering engine

                                -->
                                <embed width="728" height="90" pluginspage="https://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowscriptaccess="always" allownetworking="all" bgcolor="#FFFFFF" wmode="transparent" quality="high" src="http://ecx.images-amazon.com/images/G/01/associates/2011/ban…vacyTarget=_top&privacyURL=http://www.amazon.com/gp/dra/info"></embed>
                            </object>
                        </div>
                        <script></script>
                    </body>
                </html>
                <!--

                 autogen flash template V 0.1311154052 

                -->
        </iframe>
    </div>
    <div align="center">
        <!--

         default 

        -->
        <div id="ca-block-2228" class="ca-block"></div>
    </div>

Après de nombreux tests, j'ai réalisé que le problème se produit sur le réseau cellulaire uniquement à cause de la mise en cache. Après avoir effacé un cache ( Effacer l'historique et les données du site Web ) et actualisé, le problème a disparu. Et il n'est réapparu qu'après avoir été reconnecté au Wi-Fi.

Il était donc évident que le problème était dû à un routeur compromis, Edimax AR-7265WNB. La réinitialisation du routeur aux paramètres d'usine et la reconfiguration ont résolu le problème.

Je n'ai pas trouvé de version plus récente du firmware du routeur que celle que j'ai (FwVer: 3.10.16.0_TC3085 HwVer: T14.F7_3.0). Bien que j'aie constaté que le pare-feu sur le routeur était désactivé. En fait, le routeur s'est réinitialisé il y a quelques semaines. Lors de sa reconfiguration, j'ai probablement oublié d'activer le pare-feu (en fait, je m'attendrais à ce que le pare-feu soit activé par défaut).

Le problème semble désormais mondial (d'autres rapports ici et ici , d'autres ont été supprimés), contrairement à mon affirmation dans la question. Cela suggérerait l'exploitation à distance d'une vulnérabilité du routeur (prise en charge par un problème de pare-feu), plutôt qu'un piratage local en Wi-Fi. Les autres signalent différents types de routeur ( D-Link DSL-2600U , TP-Link), donc le problème n'est pas spécifique à l'Edimax.

Les autres rapports mentionnent qu'un DNS ou des paramètres de proxy ont été modifiés. Je n'ai pas vérifié cela avant de réinitialiser mon routeur. Mais il est possible que mon routeur ait été modifié de cette façon, car le pare-feu était désactivé. Il explique également comment injecter du code dans n'importe quelle page sans avoir besoin d'exploits spécifiques au routeur. Ainsi, l'attaquant recherche éventuellement sur Internet des routeurs non sécurisés et les configure simplement pour pointer vers le proxy de l'attaquant.

J'ai remarqué il y a environ 2 jours que je recevais exactement les mêmes annonces sur plusieurs appareils (ordinateur portable, smartphone Android et Nexus 7). Lorsque j'efface tous les caches du navigateur et me connecte à un réseau cellulaire, les publicités s'arrêtent, mais une fois que je me connecte au Wi-Fi, elles reviennent.

J'ai fini par basculer le serveur DNS sur toutes mes connexions vers Google 8.8.8.8 et les annonces ont cessé de revenir sur chaque appareil.

Donc, soit le routeur soit le serveur DNS du FAI est compromis est ma meilleure estimation.

modifier: Identique à Comment puis-je supprimer les publicités indésirables sur les sites?

Vous avez très probablement des logiciels espions (très faciles à télécharger accidentellement, mais généralement assez faciles à supprimer, si vous savez quoi faire).

Vous devrez télécharger un décompresseur plus puissant, la désinstallation de Windows ne le supprimera pas.

Téléchargez IOBitUNinstaller . Maintenant, vous devrez parcourir chaque fichier (sur iobit) et identifier le programme que vous ne reconnaissez pas ou que vous semblez "louche", une recherche rapide sur Google (en cas de doute) révélera si son malware.

Vous pouvez également sélectionner la désinstallation par lots (option en haut à droite sur iobit), ce qui vous permet de sélectionner plusieurs programmes à désinstaller - et bien sûr, laissez-le effectuer une analyse approfondie et supprimez tout ce qu'il trouve.