اخیرا متوجه وجود کد مخربی در اینترنت ارائه شده از طرف مخابرات شدیم که باعث بروز مشکل امنیتی و نمایش سایت های مستهجن در کلیه سایت ها می شود.
چندی پیش متوجه این موضوع شدیم که هنگام باز کردن سایت های رسمی و معروف داخلی، مرورگر یک صفحه فیلتر شده نیز بصورت popup نمایش می دهد. در حال حاضر این popup سعی در نمایش یک سایت مستهجن به نام adultubeus را دارد. اما ظاهرا هر چندوقت یکبار تغییر نموده و برخی اوقات نیز سعی در ارتباط با تعدادی سرور دارد که در داخل کشور قرار دارند.
در ابتدا شک ما به سیستم خودمان بود و به همین جهت ابتدا کلیه افزونه های مرورگرها را حذف نمودیم اما فایده ای نداشت. سپس سیستم عامل را از ابتدا نصب نمودیم اما با کمال تعجب مجددا مورد مربوطه را مشاهده کردیم!
در نهایت با یک سیستم عامل لینوکس لایو سیستم را بالا آوردیم و متوجه شدیم که هنوز مشکل وجود دارد! و شک ما به اینترنت ISP مخابرات بیشتر شد. پس از اتصال با اینترنت شرکت دیگری به غیر از مخابرات، متوجه شدیم که مشکل برطرف می شود (البته در کلیه این موارد باید کش مرورگر از ابتدا حذف شود که بارگذاری صحیح صورت پذیرد).
با بررسی به عمل آمده به این مورد پی بردیم که هر سایتی که از کد آمارگیر google-analytics استفاده می کند این مشکل را دارد. با بررسی دقیقتر متوجه شدیم کد جاوای آمارگیری که از گوگل بارگذاری میشود از سرور دیگری خارج از سرورهای گوگل لود شده و حاوی یک کد مخرب است:
این یعنی کد گوگل اصلا از سرورهای گوگل لود نمی شود بلکه درخواست مربوطه توسط سرور hijack شده مخابرات به سرورهای دیگری متصل می شود (و شاید بسیاری سایت های دیگر نیز در خفا به سرور های دیگر متصل می شوند!)
همانطور که مشاهده می کنید کد google-analytics.com/ga.js و google-analytics.com/analytics.js حاوی کدی مخرب است که باعث نمایش سایت مربوطه می شود.
متاسفانه با تماسی که با شرکت ISP مخابرات حاضر به پذیرش این مشکل نشدند و اعلام نمودند که سیستم ما آلوده و ویروسی شده درحالی که این سرورهای gateway شرکت مخابرات است که آلوده شده.
این می تواند تنها یک بخش کوچکی از مشکل باشد که ما توانستیم به چشم ببینیم و معلوم نیست این آلودگی تا چه حد است. در خوشبینانه ترین حالت، مشکل فقط مربوط به همین مورد است اما در بدبینانه ترین حالت (که احتمال آن با توجه به اینکه کدهای دیگری نیز لود می شوند) این است که بسیاری از سایت ها از طریق اینترنت مخابرات بصورتی phishing شده و هر اطلاعاتی که ارسال می شود (از جمله یوزر و پسورد سایتها) قابل شنود است. این مشکل امنیتی متاسفانه در بسیاری از سرورهای مخابرات وجود دارد با چندبار ریست کردن IP متوجه شدیم که 80 درصد IP هایی که مخابرات اختصاص می دهد این مشکل امنیتی را دارند. اکثر IP هایی که با .188 شروع می شوند این مشکل را دارند.
با جستجوی کوچکی که انجام دادیم به موارد مشابهی دست یافتیم که همین مشکل را گزارش داده اند و یکی از آنها مربوط به سه سال پیش است! (به تاریخ پست توجه فرمایید)
http://ashiyane.org/forums/showthread.php?93057-%D9%85%D8%B4%DA%A9%D9%84-%DA%A9%D8%AF-%D9%85%D8%AE%D8%B1%D8%A8-%D8%A8%D8%A7-google-analytics-com-ga-js
موارد دیگری که متوجه این موضوع شده اند و یکی از دوستان که مقاله جالبی در این مورد نوشته است و متوجه مشکلات امنیتی بسیار بسیار بیشتر شده است:
http://blog.maza.ir/injection-code-destructive-to-google-analytics/
و موردی دیگر:
http://forum.wp-parsi.com/topic/28223-%DA%AF%D9%88%DA%AF%D9%84-%D8%A2%D9%86%D8%A7%D9%84%DB%8C%D8%B2-%D9%88-%DA%A9%D8%AF-%D9%85%D8%AE%D8%B1%D8%A8%D9%85%D9%87%D9%85/
کلیه این عزیزان از اینترنت شرکت مخابرات استفاده می نمودند.
پیشنهاد ما این است که بصورت موقت google analytics را در کامپیوتر خود در فایل hosts مسدود نمایید. اگر از مشترکان اینترنت مخابرات هستید و این مشکل برای شما نیز بوجود آمده پیشنهاد می کنیم که شما نیز این مورد را به مخابرات گزارش دهید تا متوجه شوند که یک مشکل سراسری است.
منبع:
https://www.marketsaz.com/tech/news/31.html
چندی پیش متوجه این موضوع شدیم که هنگام باز کردن سایت های رسمی و معروف داخلی، مرورگر یک صفحه فیلتر شده نیز بصورت popup نمایش می دهد. در حال حاضر این popup سعی در نمایش یک سایت مستهجن به نام adultubeus را دارد. اما ظاهرا هر چندوقت یکبار تغییر نموده و برخی اوقات نیز سعی در ارتباط با تعدادی سرور دارد که در داخل کشور قرار دارند.
در ابتدا شک ما به سیستم خودمان بود و به همین جهت ابتدا کلیه افزونه های مرورگرها را حذف نمودیم اما فایده ای نداشت. سپس سیستم عامل را از ابتدا نصب نمودیم اما با کمال تعجب مجددا مورد مربوطه را مشاهده کردیم!
در نهایت با یک سیستم عامل لینوکس لایو سیستم را بالا آوردیم و متوجه شدیم که هنوز مشکل وجود دارد! و شک ما به اینترنت ISP مخابرات بیشتر شد. پس از اتصال با اینترنت شرکت دیگری به غیر از مخابرات، متوجه شدیم که مشکل برطرف می شود (البته در کلیه این موارد باید کش مرورگر از ابتدا حذف شود که بارگذاری صحیح صورت پذیرد).
با بررسی به عمل آمده به این مورد پی بردیم که هر سایتی که از کد آمارگیر google-analytics استفاده می کند این مشکل را دارد. با بررسی دقیقتر متوجه شدیم کد جاوای آمارگیری که از گوگل بارگذاری میشود از سرور دیگری خارج از سرورهای گوگل لود شده و حاوی یک کد مخرب است:
این یعنی کد گوگل اصلا از سرورهای گوگل لود نمی شود بلکه درخواست مربوطه توسط سرور hijack شده مخابرات به سرورهای دیگری متصل می شود (و شاید بسیاری سایت های دیگر نیز در خفا به سرور های دیگر متصل می شوند!)
همانطور که مشاهده می کنید کد google-analytics.com/ga.js و google-analytics.com/analytics.js حاوی کدی مخرب است که باعث نمایش سایت مربوطه می شود.
متاسفانه با تماسی که با شرکت ISP مخابرات حاضر به پذیرش این مشکل نشدند و اعلام نمودند که سیستم ما آلوده و ویروسی شده درحالی که این سرورهای gateway شرکت مخابرات است که آلوده شده.
این می تواند تنها یک بخش کوچکی از مشکل باشد که ما توانستیم به چشم ببینیم و معلوم نیست این آلودگی تا چه حد است. در خوشبینانه ترین حالت، مشکل فقط مربوط به همین مورد است اما در بدبینانه ترین حالت (که احتمال آن با توجه به اینکه کدهای دیگری نیز لود می شوند) این است که بسیاری از سایت ها از طریق اینترنت مخابرات بصورتی phishing شده و هر اطلاعاتی که ارسال می شود (از جمله یوزر و پسورد سایتها) قابل شنود است. این مشکل امنیتی متاسفانه در بسیاری از سرورهای مخابرات وجود دارد با چندبار ریست کردن IP متوجه شدیم که 80 درصد IP هایی که مخابرات اختصاص می دهد این مشکل امنیتی را دارند. اکثر IP هایی که با .188 شروع می شوند این مشکل را دارند.
با جستجوی کوچکی که انجام دادیم به موارد مشابهی دست یافتیم که همین مشکل را گزارش داده اند و یکی از آنها مربوط به سه سال پیش است! (به تاریخ پست توجه فرمایید)
http://ashiyane.org/forums/showthread.php?93057-%D9%85%D8%B4%DA%A9%D9%84-%DA%A9%D8%AF-%D9%85%D8%AE%D8%B1%D8%A8-%D8%A8%D8%A7-google-analytics-com-ga-js
موارد دیگری که متوجه این موضوع شده اند و یکی از دوستان که مقاله جالبی در این مورد نوشته است و متوجه مشکلات امنیتی بسیار بسیار بیشتر شده است:
http://blog.maza.ir/injection-code-destructive-to-google-analytics/
و موردی دیگر:
http://forum.wp-parsi.com/topic/28223-%DA%AF%D9%88%DA%AF%D9%84-%D8%A2%D9%86%D8%A7%D9%84%DB%8C%D8%B2-%D9%88-%DA%A9%D8%AF-%D9%85%D8%AE%D8%B1%D8%A8%D9%85%D9%87%D9%85/
کلیه این عزیزان از اینترنت شرکت مخابرات استفاده می نمودند.
پیشنهاد ما این است که بصورت موقت google analytics را در کامپیوتر خود در فایل hosts مسدود نمایید. اگر از مشترکان اینترنت مخابرات هستید و این مشکل برای شما نیز بوجود آمده پیشنهاد می کنیم که شما نیز این مورد را به مخابرات گزارش دهید تا متوجه شوند که یک مشکل سراسری است.
منبع:
https://www.marketsaz.com/tech/news/31.html
Last edited: