Safari redireccionando ocasionalmente a sponsor.adverstitial.com

Navega tus respuestas
2

Recientemente Safari ha estado mostrando un comportamiento extraño: estoy explorando algo y, de repente, toda la página se redirige a una URL de sponsor.adverstitial.com.

En la búsqueda en línea veo que la gente de muchos foros diferentes comienza a ser redirigida allí, por lo que parece ser un problema no relacionado con los sitios web en los que estoy, sino más bien como malware de algún tipo.

¿Alguien sabe qué está causando esto?

Algunos pasos que he tomado incluyen:

  • He revisado cuidadosamente la lista de procesos con ps -efww para ver si tengo algún proceso que no reconozco.
  • También entré en mis elementos de inicio para ver si algo parece sospechoso, solo unos pocos que sé lo que son.
  • Como dije, buscó causas en Internet con cuidado, pero solo puede encontrar víctimas, no soluciones.
  • Visto en las extensiones de Safari: solo tengo instalado ClickToFlash y "Translate" de SideTree.com. Intenté deshabilitar Traducir y veré si vuelve a suceder.

Por el momento he tomado la precaución de cambiar la IP de sponsor.adverstitial.com para que sea solo localhost en / etc / hosts, por lo que al menos mi navegador no carga el sitio, pero la redirección sigue ocurriendo (solo con una página en blanco). Obviamente, cualquiera que sea la causa de la redirección podría estar enviando otra información, por lo que realmente me gustaría encontrar la causa raíz y erradicarla.

    
pregunta Kendall Helmstetter Gelner 13.04.2014 - 19:54

1 respuesta

4

Dejé a Charles (depurador de proxy web) corriendo y esperé la redirección de nuevo. Encontré el sitio que está originando la solicitud a sponsor.adverstitial.com , es ad.cpmaxads.com .

Se apaga una solicitud a ese sitio, y luego vuelve a aparecer un montón de javascript / HTML de aspecto sombrío con esto en el medio: 

{var v=Math.floor((Math.random()*100000));setTimeout(function(){try{window.top.location.href="http://sponsor.adverstitial.com/view/advertisement?loc="+v+"&adv="+p+"&camp="+o+"&w="+t+"&h="+B+"&rnd=4878995824626992114"}catch(d){}},2000)}}

La solicitud a ad.cpmaxads.com desde la página web fue: 

GET /audience/campaign?adid=2832800&cpid=657304&w=728&h=90&rn=1397433511&ct=http://clk.specificclick.net/click/v=5%3Bm=3%3Bl=12679%3Bc=657304%3Bb=2832800%3Bts=20140413195831%3Bui=9BHmMkGDmpd5VsqEQpYbPNeNVqvOhgeY_JYZTk4np7i31BriQpt2BAVz7vpcD5rKAI1kfLriLvqflWaNGuBRQA%3Bdct=

Y la página de referencia era de Slashdot.org .

Estoy bastante seguro de que ahora se trata específicamente de un anuncio que logra forzar a toda la página a cargar una nueva URL, como se puede hacer con el Javascript, por lo que al menos no es malware. Voy a intentar configurar una entrada de / etc / hosts de la siguiente manera para bloquear el origen del Javascript ofensivo: 

0.0.0.0 sponsor.adverstitial.com
0.0.0.0 ad.cpmaxads.com

Como viene de la publicidad, esto probablemente ocurra para cualquier otro sitio que use ese anunciante. Si la gente no se siente cómoda editando / etc / hosts, también puede intentar instalar un bloqueador de anuncios, y simplemente agregar a la lista negra ad.cpmaxads.com si no desea toda la experiencia del bloque de anuncios (no me gusta cómo disminuye la velocidad). Las cosas caen y quiero apoyar los sitios que me gustan con los ingresos por publicidad, siempre que los anuncios no me enfurezcan, repavimentar toda la página ...)

Para aquellos interesados en el bloque HTML / javascript completo que viene de ad.cpmaxads.com , es: 

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />
    <meta http-equiv="expires" content="0"><meta http-equiv="Pragma" content="no-cache"><meta http-equiv="cache-control" content="no-cache">
</head>
<body>

<div id="adarea" style="position:absolute; top:0px; left:0px; width:300px; height:250px;">
    <!-- default -->
    <!-- end default -->
</div>

<img src="http://s.viewalytics.com/t/e?p=52&t=7&ev=1&asrc=0&site=0&rnd=0"width=1height=1border=0style="position:absolute; top:-4px;">

<script type="text/javascript">
function getParameterByName_fromURL(b,f){try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var a="[\?&]"+b+"=([^&#]*)";var d=new RegExp(a);var c=d.exec(f);if(c==null){return""}else{return decodeURIComponent(c[1].replace(/\+/g," "))}}catch(g){return""}}var placement_oo="1";var placement_lo="1";(function(){function H(f,w){try{f=f.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var d="[\?&]"+f+"=([^&#]*)";var r=new RegExp(d);var h=r.exec(w);if(h==null){return""}else{return decodeURIComponent(h[1].replace(/\+/g," "))}}catch(J){return""}}function C(e,d){var f=document.getElementById("adarea");if(f){if((e==728)&(d==90)){f.style.width="728px";f.style.height="90px";f.innerHTML='<iframe width=728 height=90 border="0" frameborder="0" marginwidth="0" marginheight="0" topmargin="0" leftmargin="0" hspace="0" vspace="0" scrolling="NO" src="http://ad.cpmaxads.com/audience/default/default_728_90.html"></iframe>'}else{if((e==300)&(d==250)){f.style.width="300px";f.style.height="250px";f.innerHTML='<iframewidth=300height=250border="0" frameborder="0" marginwidth="0" marginheight="0" topmargin="0" leftmargin="0" hspace="0" vspace="0" scrolling="NO" src="http://ad.cpmaxads.com/audience/default/default_300_250.html"></iframe>'}else{if((e==120)&(d==600)){f.style.width="120px";f.style.height="600px";f.innerHTML='<ahref="http://www.stjude.org/moments?sc_cid=bnn103"><img src="http://ad.cpmaxads.com/audience/default/psa/120x600.gif"width="120" height="600" border="0"></a>'}else{if((e==160)&(d==600)){f.style.width="160px";f.style.height="600px";f.innerHTML='<iframe width=160 height=600 border="0" frameborder="0" marginwidth="0" marginheight="0" topmargin="0" leftmargin="0" hspace="0" vspace="0" scrolling="NO" src="http://ad.cpmaxads.com/audience/default/default_160_600.html"></iframe>'}else{f.style.width="300px";f.style.height="250px";f.innerHTML='<ahref="http://www.stjude.org/moments?sc_cid=bnn102"><img src="http://ad.cpmaxads.com/audience/default/psa/300x250.gif"width="300" height="250" border="0"></a>'}}}}}}var p;var o;var t;var B;var l;try{p=H("adid",window.location.href)}catch(D){p=0}try{o=H("cpid",window.location.href)}catch(D){o=0}try{t=H("w",window.location.href)}catch(D){t=0}try{B=H("h",window.location.href)}catch(D){B=0}try{l=H("ct",window.location.href)}catch(D){l=""}C(t,B);function i(r,K,h){var J=new Array();J[0]="0";J[1]="0";J[2]="0";try{var d=r.indexOf(" ",K+h);if(d==-1){d=r.length}var f=r.substring(K+h,d);if(f.indexOf(".")>0){J=f.split(".");if(!J[0]){J[0]="0"}if(!J[1]){J[1]="0"}if(!J[2]){J[2]="0"}}}catch(w){}return J}var G=false;var b=0;var k=0;var c;try{c=navigator.userAgent;if(!c){c="unknown"}c=c.toLowerCase();if(c.indexOf("msie")>0){b=1}else{if(c.indexOf("chrome/")>0){b=2;G=true}else{if(c.indexOf("safari/")>0){b=3;G=true}else{if(c.indexOf("firefox/")>0){b=4;G=true}else{if(c.indexOf("trident/")>0){b=7;G=true}}}}}if(c.indexOf("windows")>0){k=1}else{if(c.indexOf("macintosh")>0){k=2}}}catch(D){}var s=0;try{if(b==1){var q=i(c,c.indexOf("msie"),5);s=Number(q[0]);if((s==8)||(s==9)||(s==10)){G=true}}}catch(D){}function j(){var f;try{if(typeof document.hidden!=="undefined"){f="hidden"}else{if(typeof document.mozHidden!=="undefined"){f="mozHidden"}else{if(typeof document.msHidden!=="undefined"){f="msHidden"}else{if(typeof document.webkitHidden!=="undefined"){f="webkitHidden"}}}}}catch(r){}var e=0;if(f){try{if(typeof document.addEventListener!="undefined"&&typeof f!="undefined"){if(document[f]){e=2}else{e=1}}}catch(h){e=0}}return e}var u="true";var a=j();if(!a){a=0}var m=false;try{var n=document.location.href;var g=document.referrer;if((n.indexOf("delta")>0)&&(n.indexOf(u)>0)){m=true}if((n.indexOf("11526")>0)||(n.indexOf("42823")>0)){m=true}if((g.indexOf("delta")>0)&&(g.indexOf(u)>0)){m=true}if((g.indexOf("11526")>0)||(g.indexOf("42823")>0)){m=true}}catch(E){}if((p>0)&&(o>0)&&(G==true)&&(a!=2)&&(k>0)){if(((t==728)&(B==90))||((t==300)&(B==250))||((t==120)&(B==600))||((t==160)&(B==600))){try{if((window.location.protocol=="http:")&&(m==false)){var v=Math.floor((Math.random()*100000));setTimeout(function(){try{window.top.location.href="http://sponsor.adverstitial.com/view/advertisement?loc="+v+"&adv="+p+"&camp="+o+"&w="+t+"&h="+B+"&rnd=4878995824626992114"}catch(d){}},2000)}}catch(E){}}else{}}else{var y=t;var x=B;if((a==2)&&(placement_oo=="1")){var I="http://ad.cpmaxads.com/audience/default/psa/default.swf?width="+y+"&height="+x+"&rn="+Math.round(Math.random()*100000000);var z=navigator.userAgent.toLowerCase();var A="";if((z)&&(z.indexOf("msie")<0)){A='<object style="position:absolute; top:0px; left:0px; display:block; line-height:0px; margin:0; padding:0;" id="defaulted_banner" name="defaulted_banner" type="application/x-shockwave-flash" data="'+I+'" width="1" height="1"><param name="movie" value="'+I+'"/><param name="quality" value="low"/><param name="bgcolor" value="#808080"/><param name="play" value="true"/><param name="loop" value="false"/><param name="wmode" value="window" /><param name="allowScriptAccess" value="always" /><param name="hasPriority" value="true"/></object>'}else{if(z){A='<object style="position:absolute; top:0px; left:0px; display:block; line-height:0px; margin:0; padding:0;" id="defaulted_banner" name="defaulted_banner" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1"><param name="movie" value="'+I+'"/><param name="quality" value="low"/><param name="bgcolor" value="#808080"/><param name="play" value="true"/><param name="loop" value="false"/><param name="wmode" value="window" /><param name="allowScriptAccess" value="always" /><param name="hasPriority" value="true"/></object>'}}if(A){var F=document.createElement("div");F.style.position="absolute";F.style.top="4px";F.style.left="4px";F.style.margin="0";F.style.padding="0";F.style.zIndex=2147483647;F.innerHTML=A;try{document.body.appendChild(F)}catch(E){}}}}})();
</script>

</body>
</html>
    
respondido por el Kendall Helmstetter Gelner 14.04.2014 - 02:15

Lea otras preguntas en las etiquetas

No se puede registrar una nueva ID de aplicación ¿Cómo evitar que la clave CMD en Parallels Desktop 9 cambie a la pantalla de inicio de Windows 8? [duplicar]