Google Arama yalnızca gözlenmediğinde kaçırıldı. Hata ayıklayıcı eklemek normal sonuçlar döndürür

12

Bunu çözemiyorum. Arama sonuçlarımın geç itibariyle biraz "farklı" olduğunu fark ettim.

  • Bir google araması yaptığımda oturum açmadım, ancak "Resimler" veya "Videolar" ı tıklarsam oturum açmış olarak gösterilirim.
  • Arama sayfasının kenar çubuğunda wikipedia bilgisi yok.
  • Ghostery ve uBlock'u devre dışı bırakırsam, sonuçların çoğu reklamdır.

Geliştirici araçlarını kontrol etmeye karar verdim ve sayfada bir SyntaxError olduğunu fark ettim, tıkladım ve aslında google web adresinin yerini alan bir javascript işlevine yol açıyor.

Sorun yalnızca Chrome'da ortaya çıkıyor gibi görünüyor, burada firefox ile yan yana: http://i.imgur.com/7J1G9mR.png

Trafiği yakalamak için Fiddler Web Hata Ayıklayıcısını eklemeye çalıştım, böylece nereye yönlendirildiğimi görebiliyordum. Ama bir web hata ayıklayıcı eklemek en kısa sürede tüm gider ve gerçek arama sayfası hizmet .... Fiddler yakalama sayfa kaynağı tamamen farklı.

Aşağıda gösteren bir ekran yakalama gifvidir. Ele geçirilen sayfa ile başlar ve imleci yarım yamalak ek javascript kaynak dosyaları etrafında daire içine alırım. Daha sonra Fiddler'e trafik yakalamasını ve arama sonuçlarımı yenilemesini söylüyorum. Sunulduğum sayfa tamamen farklı. Son olarak, trafik yakalamayı tekrar devre dışı bıraktım ve ele geçirilen sayfayı göstermek için sayfayı yenileyip web adresini değiştirmesi gereken sözdizimi hatasıyla işleve götürüyorum.

http://i.imgur.com/gbWkkLp.gifv

Malwarebytes'i çalıştırdım ve sonuç alamadım. Spybot birkaç vuruş yaptı ama bunları kaldırmak sorunu çözmedi. Ayrıca Google tarafından sağlanan aracı kullanarak kromu tamamen sıfırladım. Faturalarımı yaptığım gibi farklı bir web profili kullanırsam, arama sonucu almam. Kemancıyı etkinleştirirsem, birdenbire sonuç alırım. resim açıklamasını buraya girin

google-chrome  fiddler  hijack  debugger 
Derek Ziemba
kaynak
2
Google, sonuçları sunmak için HTTPS kullanır. Site sertifikalarını kontrol edin ve Google Internet Authority G2 tarafından imzalandığından emin olun . Değilse, birisi bilgisayarınıza yeni bir kök sertifika ekledi ve trafiğinizi kaçırıyor.
Deltik
Burada bir şey olabilirsiniz. "DO_NOT_TRUST_FiddlerRoot" tarafından imzalandı, bu yüzden kemancı trafik yakaladığında çalışması bir tesadüf olmayabilir. i.imgur.com/b61IkYc.png Tüm Fiddler Sertifikalarını certmgr.cfg kullanarak kaldırdım. Kemancı hedef alındı ​​mı? FiddlerRoot kaldırıldığından beri, google.com'a erişemiyorum
Derek Ziemba
1
Görünüşe göre Fiddler geçmişte HTTPS reklam yazılımı ile ilişkilendirilmiş gibi görünüyor, tam burada Süper Kullanıcı'da . Fiddler'den kurtulmak isteyebilirsiniz. Güvenli bir bilgisayara girdiğinizde muhtemelen şifrelerinizi de değiştirin.
Deltik
Yeniden başlattıktan sonra Google'a tekrar erişebilirim ve sertifika "Google Internet Authority G2" tarafından imzalanır, ancak yalnızca Fiddler Trafik Yakalama'ya ayarlanmışsa. Kemancı yakalama veya kaldırma işlemi yapmadığında, Google geçersiz sertifikayı kullanmaya geri döner. Her şeyi yeniden yüklemek için zamanım yok ...
Derek Ziemba
Çeşitli kötü amaçlı yazılım parçaları, Fiddler'in kullanımda olup olmadığını kontrol eder ve eğer öyleyse, eylemlerini gizlemek için kötü amaçlı etkinliklerini yapmayı bırakırlar.
EricLaw

Yanıtlar:

8

Bazı kötü amaçlı yazılımlar, Fiddler'in orijinal geliştiricisi Eric Lawrence'ın belirttiği gibi muhtemelen Fiddler'i taklit ediyordu :

Çeşitli kötü amaçlı yazılım parçaları, Fiddler'in kullanımda olup olmadığını kontrol eder ve eğer öyleyse, eylemlerini gizlemek için kötü amaçlı etkinliklerini yapmayı bırakırlar.

( kaynak )

Fiddler bir web hata ayıklama aracıdır. Herhangi bir kötü amaçlı davranışa sahip değildir ve Telerik'ten indirilen yükleyiciyi kişisel olarak yüklemediğiniz sürece asla yüklenmez. Burada açıklanan senaryo, kendisini Fiddler gibi görünerek tespit etmekten kaçınmaya çalışan bir kötü amaçlı yazılım parçasıdır.

( kaynak )

davranış

Kötü amaçlı yazılımların en açık belirtisi, trafik yakalamak için Fiddler'ı kullanmadığınız sürece Google Chrome'un HTTPS web sitelerini istendiği gibi yüklememesi. Fiddler, kullanılmadığında normal web taramanıza müdahale edecek şekilde tasarlanmamıştır.

Kötü amaçlı yazılımın kendini gizleyebilmesi için Fiddler proxy'sini ele geçirmesi ve HTTPS trafiğini Fiddler sertifikasının özel anahtarıyla istifa etmesi gerekir. Proxy ayarlarını değiştirmek önemsizdir ve Fiddler kurulumunuzun özel anahtarının bir kopyasını elde etmek mümkündür .

Kök Sertifika

Fiddler bilgisayarınıza HTTPS üzerinden gönderilen veri içeriğini izlemek için kendini ortadaki bir adam (MitM) olarak eklemesine izin veren bir kök sertifika yüklemişti:

Https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394 ekran görüntüsü

Buna karşılık, https://www.google.com/ normalde aşağıdaki şekilde güvenilirdir:

Uygun Google HTTPS güvenlik zincirinin ekran görüntüsü

Bilgisayarınız DO_NOT_TRUST_FiddlerRoot, işletim sisteminizin sertifika güven deposuna yüklendiği için sertifikaya güveniyor.

HTTPS'ye Karşı Proxy

HTTPS'nin, işletim sisteminin proxy kuralları yerine kendi bağımsız proxy kurallarını kullanacak şekilde yapılandırılabilen Mozilla Firefox üzerinde düzgün davrandığını belirttiniz. Google Chrome, aksi takdirde kolay bir seçenek olmadan işletim sistemi proxy'sini kullanır.

Fiddler'ın işletim sistemi düzeyi proxy'sinden geçen Fiddler, siteye hizmet ederken şifrelenmemiş HTTPS verilerini yakalamak için artık MitM olabilir. Fiddler bazı web sayfalarını getirir, daha önce güvenilir olan sertifikayı kullanarak "www.google.com" olarak imzalar DO_NOT_TRUST_FiddlerRoot.

Bu koşullar altında, kötü amaçlı yazılım, size hala yanlış siteyi göstermek için proxy'yi ve sertifikayı ele geçirebilir yeşil kilit simgesi. Bunun ayrıntılı kimlik avı saldırılarına yol açtığını görebiliyorum.

Güvenlik endişeleri

Security Stack Exchange ile ilgili: SSL dağıtan yazılım satıcıları, kullanıcı masaüstlerinde hangi güvenlik risklerini oluşturur?

As Eric Lawrence kez yazdım ,

Fiddler'in HTTPS müdahale yetenekleri (haklı olarak) güvenlik bilincine sahip kullanıcılar arasında kaşlarını kaldırıyor.

Bu nedenle Fiddler, HTTPS trafiğini engellemenin güvenlik üzerindeki etkileri konusunda uyarıyor:

Bir Fiddler yerleşik uyarısının ekran görüntüsü

Kullanıcı hatası ya da kötü amaçlı yazılım yüklenmesi tarafından, Fiddler çeşitli sorunlarla ilişkilendirilmiştir:

Fiddler'in kendisi zararlı bir program olmasa da, yanlış kullanımı ve yanlış anlaşılmaları geçmişte kötü itibar ve Fiddler gibi davranan virüslere yol açtı .

uzaklaştırma

Bilgisayarınız bazı Kemancı saldırganı tarafından ihlal edilmişse Bilmiyorum, ama sen gösterilen bu kadar umarım aşağıdaki adımlar Fiddler kurtulabilirsiniz Bilgisayarınızı ve yeniden yükleme, silme ve uygun güvenli web davranışını geri zamanım yok olduğunu. (Yine de, özellikle güvenlik konusunda ciddiyseniz şifrelerinizi yeniden yüklemenizi ve değiştirmenizi tavsiye ederim. Spybot - Search & Destroy'un kötü amaçlı yazılım bulduğunu yazdınız.)

Önsöz: Fiddler'ın yapılandırmasını kaldır

Orijinal poster Fiddler ile olan sorununu çözmek için şu ek adımları keşfetti :

Sonuçta ne düzeltildi: Ayarlar -> Gelişmiş ayarları göster -> Ağ altında -> Proxy Ayarlarını Değiştir -> Gelişmiş -> Sıfırla

ve

Ayrıca Fiddler Ayarları'nda sertifikaları kaldırmadan ve silmeden önce HTTPS trafiğinin şifresini çözmesine izin veren seçenekleri devre dışı bıraktım.

Fiddler's Root Sertifikalarını Kaldır

  1. Basın Win+r
  2. Açık: certmgr.msc
  3. Tüm klasörleri inceleyin ve DO_NOT_TRUST_FiddlerRootsertifikayı kaldırın .

Fiddler'i Kaldır

  1. Denetim Masası »Programlar» Programlar ve Özellikler'e gidin.
  2. Fiddler'i kaldırın. Bir kaynak , Fiddler'ın "FiddlerRoot" veya "BrowserSafeguard" olarak adlandırılabileceğini söylüyor.

Proxy Ayarlarını Temizle

Normalde farklı bir proxy kullanmadığınız varsayılarak ...

  1. Denetim Masası »Internet Seçenekleri'ne gidin.
  2. Internet Özellikleri'nde "Bağlantılar" sekmesine gidin.
  3. "Yerel Alan Ağı (LAN) ayarları" altında, "LAN ayarları" nı tıklayın.
  4. Aşağıdaki gibi proxy ayarlarınızı temizleyin ve işaretlerini kaldırın: Yerel Ağ (LAN) Ayarlarının Ekran Görüntüsü

Kötü Amaçlı Yazılımları Kaldır

Daha önce Süper Kullanıcı'da önerildiği gibi , değiştirilmiş HTTPS web sayfalarını görüntüleyen orijinal kötü amaçlı yazılımı bulmaya ve kaldırmaya çalışmalısınız.

Ayrıntılı tavsiye:
Kötü amaçlı casus yazılımları, kötü amaçlı yazılımları, reklam yazılımlarını, virüsleri, truva atlarını veya rootkit'leri bilgisayarımdan nasıl kaldırabilirim?

Deltik
kaynak
Detaylı yazı için teşekkürler. Kendimi Fiddler'in hain olduğuna inanamıyorum çünkü iş arkadaşlarım ve ben yıllarca neredeyse her gün kullanıyoruz. Başka bir şeyin muhtemelen FiddlerRoot Sertifikasından yararlandığına inanabilirim. Her zaman Fiddler'ı yükledim ve son zamanlarda bir yükseltme yapmadım, bu sorun son birkaç gün içinde ortaya çıktı. Fiddler hain olsa, sertifika adında "DO_NOT_TRUST" olacağını sanmıyorum. Sonuçta ne düzeltildi: Ayarlar -> Gelişmiş ayarları göster -> Ağ altında -> Proxy Ayarlarını Değiştir -> Gelişmiş -> Sıfırla
Derek Ziemba
Ayrıca certlm.msc, Win7'de bulunmuyor gibi görünüyor. Ancak Fiddler için tüm sertifika girdilerini certmgr.msc kullanarak kaldırdım. Ayrıca Fiddler Ayarları'nda sertifikaları kaldırmadan ve silmeden önce HTTPS trafiğinin şifresini çözmesine izin veren seçenekleri devre dışı bıraktım. Yayınınızı bu biraz farklı adımları içerecek şekilde düzenlerseniz, bunu yanıt olarak işaretleyeceğim çünkü sonuçta sorunu düzeltti.
Derek Ziemba
@DerekZiemba: Sadece Fiddler hakkında bulduğum çeşitli şikayetlere gidince, ne olduğunu bilmiyordum, ama şimdi baktığım için, bunun meşru bir araç olması gerektiğini görüyorum. Cevabımı daha az suçlama yapmak ve bulduğunuz düzeltilmiş gerçekleri ortaya koymak için değiştirdim.
Deltik
2
Sen ediyoruz ÇOK Fiddler hakkında karıştı. Fiddler bir web hata ayıklama aracıdır. Herhangi bir kötü amaçlı davranışa sahip değildir ve Telerik'ten indirilen yükleyiciyi kişisel olarak yüklemediğiniz sürece asla yüklenmez. Burada açıklanan senaryo, kendisini Fiddler gibi görünerek tespit etmekten kaçınmaya çalışan bir kötü amaçlı yazılım parçasıdır.
EricLaw
Merhaba @EricLaw. Resmi / yetkili yorumunuzu almaktan onur duyuyorum. Bilgisiz olmak ve Fiddler'a karşı aşırı kilo vermek benim hatam. Cevabınızı girdilerinizi içerecek şekilde düzenledim. Rahatsızlık için özür dilerim. (Sonuçta, bana doğru yürümeye ve yüzüne yumruk
atmaya yetecek kadar yakınsın
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.