การค้นหาโดย Google ถูกแย่งชิงเมื่อไม่ได้รับการตรวจสอบเท่านั้น การแนบดีบักเกอร์จะส่งคืนผลลัพธ์ปกติ


12

ฉันไม่สามารถหาอันนี้ได้ ฉันสังเกตเห็นผลการค้นหาของฉัน "แตกต่าง" เล็กน้อยในช่วงปลายปี

  • ฉันไม่ได้ลงชื่อเข้าใช้เมื่อฉันค้นหาด้วยกูเกิ้ล แต่ถ้าฉันคลิกที่ "รูปภาพ" หรือ "วิดีโอ" ฉันจะแสดงเมื่อลงชื่อเข้าใช้
  • ไม่มีข้อมูลวิกิพีเดียในแถบด้านข้างของหน้าการค้นหา
  • หากฉันปิดการใช้งาน Ghostery และ uBlock ผลลัพธ์ส่วนใหญ่คือโฆษณา

ฉันตัดสินใจที่จะตรวจสอบเครื่องมือของนักพัฒนาซอฟต์แวร์และพบว่ามี SyntaxError ในหน้าเว็บฉันคลิกมันและจริง ๆ แล้วมันนำไปสู่ฟังก์ชันจาวาสคริปต์ที่แทนที่ที่อยู่เว็บของ Google

ดูเหมือนว่าปัญหาจะเกิดขึ้นเฉพาะใน Chrome นี่คือเคียงข้างกันกับ firefox: http://i.imgur.com/7J1G9mR.png

ฉันพยายามแนบ Fiddler Web Debugger เพื่อจับภาพทราฟฟิกเพื่อให้ฉันเห็นว่าฉันกำลังถูกเปลี่ยนเส้นทางไปที่ใด แต่ทันทีที่ฉันแนบเว็บดีบั๊กเกอร์ทุกอย่างจะหมดไปและฉันจะแสดงหน้าการค้นหาจริง ....แหล่งที่มาของหน้าเว็บเมื่อ Fiddler จับภาพนั้นแตกต่างไปจากเดิมอย่างสิ้นเชิง

ด้านล่างเป็น gifv ที่จับภาพหน้าจอแสดง มันเริ่มต้นด้วยหน้าไฮแจ็กและฉันวงกลมเคอร์เซอร์ของฉันรอบ ๆ ไฟล์ต้นฉบับจาวาสคริปต์เพิ่มเติม ฉันบอกให้พู้ทำเล่นเพื่อจับภาพการจราจรและรีเฟรชผลการค้นหาของฉัน หน้าที่ฉันเสิร์ฟแตกต่างไปจากเดิมอย่างสิ้นเชิง ในที่สุดฉันก็ปิดการใช้งานการรับส่งข้อมูลอีกครั้งและรีเฟรชหน้าเว็บเพื่อแสดงหน้าไฮแจ็กและนำคุณไปยังฟังก์ชันที่มีข้อผิดพลาดทางไวยากรณ์ที่ควรจะแทนที่ที่อยู่เว็บ

http://i.imgur.com/gbWkkLp.gifv

ฉันรัน Malwarebytes และไม่ได้ผลลัพธ์ Spybot เกิดขึ้นพร้อมกับเพลงฮิต แต่การลบออกไม่ได้แก้ไขปัญหา ฉันยังรีเซ็ต Chrome อย่างสมบูรณ์ด้วยเครื่องมือที่ให้โดย Googles หากฉันใช้โปรไฟล์เว็บอื่นเช่นโปรไฟล์ที่ฉันใช้จ่ายฉันจะไม่ได้รับผลการค้นหา หากฉันเปิดใช้งานพู้ทำเล่นฉันก็จะได้ผลลัพธ์ ป้อนคำอธิบายรูปภาพที่นี่


2
Google ใช้ HTTPS เพื่อให้บริการผลลัพธ์แก่คุณ ตรวจสอบใบรับรองเว็บไซต์ของพวกเขาและให้แน่ใจว่ามันลงนามโดยผู้มีอำนาจ Google อินเทอร์เน็ต G2 ถ้าไม่ได้มีใครบางคนได้เพิ่มใบรับรองหลักใหม่ลงในคอมพิวเตอร์ของคุณและกำลังแย่งชิงอัตราการเข้าชม
Deltik

คุณอาจเข้าสู่บางสิ่งที่นี่ มีการลงนามโดย "DO_NOT_TRUST_FiddlerRoot" ดังนั้นจึงอาจไม่ใช่เรื่องบังเอิญที่จะทำงานเมื่อพู้ทำเล่นจับภาพการจราจร i.imgur.com/b61IkYc.png ฉันลบใบรับรอง Fiddler ทั้งหมดโดยใช้ certmgr.cfg ตกเป็นเป้าหมายของนักไวโอลินหรือไม่? ตั้งแต่ลบ FiddlerRoot ฉันไม่สามารถเข้าถึง google.com
Derek Ziemba

1
หน้าตาเหมือนไวโอลินได้รับการเชื่อมโยงด้วย HTTPS แอดแวร์ในอดีตที่ผ่านมาที่นี่ใน Super User คุณอาจต้องการกำจัด Fiddler อาจเปลี่ยนรหัสผ่านของคุณได้เช่นกันเมื่อคุณใช้คอมพิวเตอร์ที่ปลอดภัย
Deltik

หลังจากรีสตาร์ทฉันสามารถเข้าถึง Google อีกครั้งและใบรับรองได้รับการรับรองโดย "Google Internet Authority G2" แต่ถ้าฉันมี Fiddler ตั้งเป็น Capture Traffic เมื่อพู้ทำเล่นไม่ได้ดักจับหรือถอนการติดตั้ง Google จะกลับไปใช้ใบรับรองที่ไม่ถูกต้อง ฉันไม่มีเวลาติดตั้งทุกอย่าง ...
Derek Ziemba

มัลแวร์ชิ้นส่วนต่าง ๆ ตรวจสอบว่าใช้พู้ทำเล่นหรือไม่และหากเป็นเช่นนั้นพวกเขาจะหยุดทำกิจกรรมที่เป็นอันตรายเพื่อพยายามซ่อนการกระทำของตน
EricLaw

คำตอบ:


8

มัลแวร์บางตัวอาจแอบอ้างเป็นFiddlerในฐานะผู้พัฒนาเดิมของ Fiddler Eric Lawrenceชี้ให้เห็น:

มัลแวร์ชิ้นส่วนต่าง ๆ ตรวจสอบว่าใช้พู้ทำเล่นหรือไม่และหากเป็นเช่นนั้นพวกเขาจะหยุดทำกิจกรรมที่เป็นอันตรายเพื่อพยายามซ่อนการกระทำของตน

(ที่มา )

Fiddler เป็นเครื่องมือแก้ไขข้อบกพร่องบนเว็บ มันไม่มีพฤติกรรมที่เป็นอันตราย แต่อย่างใดและจะไม่ติดตั้งจนกว่าคุณจะติดตั้งเป็นการส่วนตัวโดยใช้ตัวติดตั้งที่ดาวน์โหลดจาก Telerik สถานการณ์ที่อธิบายไว้ในที่นี้คือชิ้นส่วนของมัลแวร์ที่พยายามหลีกเลี่ยงการตรวจจับโดยทำให้ตัวเองดูเหมือน Fiddler

(ที่มา )


พฤติกรรม

สัญญาณที่ชัดเจนที่สุดของมัลแวร์คือ Google Chrome ไม่ได้โหลดเว็บไซต์ HTTPS ตามที่ตั้งใจเว้นแต่คุณจะใช้ Fiddler เพื่อจับปริมาณการเข้าชม พู้ทำเล่นไม่ได้ออกแบบมาเพื่อรบกวนการท่องเว็บปกติของคุณเมื่อไม่ได้ใช้งาน

เพื่อให้มัลแวร์ซ่อนตัวเองนั้นจำเป็นต้องขโมยพร็อกซี Fiddler และออกจากการรับส่งข้อมูล HTTPS ด้วยรหัสส่วนตัวของใบรับรอง Fiddler มันไม่ได้เป็นเรื่องที่จะเปลี่ยนการตั้งค่าพร็อกซีและมันก็เป็นไปได้ที่จะได้รับสำเนาของคีย์ส่วนตัวติดตั้งไวโอลินของคุณ

ใบรับรองหลัก

คุณมี Fiddler ติดตั้งใบรับรองหลักบนคอมพิวเตอร์ของคุณซึ่งอนุญาตให้แทรกตัวเองเป็นman-in-the-middle (MitM) เพื่อตรวจสอบเนื้อหาข้อมูลที่ส่งผ่าน HTTPS:

ภาพหน้าจอจาก /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

ในทางตรงกันข้ามนี่คือวิธีที่https://www.google.com/เชื่อถือได้ตามปกติ:

สกรีนช็อตของห่วงโซ่ความปลอดภัยของ Google HTTPS ที่เหมาะสม

คอมพิวเตอร์ของคุณเชื่อถือDO_NOT_TRUST_FiddlerRootใบรับรองเนื่องจากมีการติดตั้งไปยังที่เก็บใบรับรองที่เชื่อถือได้ของระบบปฏิบัติการของคุณ

พร็อกซีเพื่อดักจับ HTTPS

คุณระบุว่า HTTPS ทำงานอย่างถูกต้องบน Mozilla Firefox ซึ่งสามารถกำหนดค่าให้ใช้กฎพร็อกซีอิสระของตัวเองแทนที่จะใช้กฎพร็อกซีของระบบปฏิบัติการ Google Chrome ใช้พรอกซีของระบบปฏิบัติการโดยไม่มีตัวเลือกอื่นให้ทำได้ง่าย

เมื่อต้องผ่านพร็อกซีระดับระบบปฏิบัติการของ Fiddler ตอนนี้ Fiddler สามารถเป็น MitM เพื่อเก็บข้อมูล HTTPS ที่ไม่ได้เข้ารหัสในขณะที่ยังคงให้บริการเว็บไซต์ ไวโอลินเรียกหน้าเว็บบางส่วนแล้วนามว่า "www.google.com" DO_NOT_TRUST_FiddlerRootใช้ใบรับรองที่เชื่อถือได้ก่อนหน้านี้

ไอคอนล็อคสีเขียวภายใต้สถานการณ์เช่นนี้มัลแวร์สามารถใช้เวลามากกว่าทั้งพร็อกซี่และใบรับรองที่จะเลี้ยงคุณเว็บไซต์ที่ไม่ถูกต้องในขณะที่ยังคงแสดงให้คุณเห็น ฉันเห็นสิ่งนี้นำไปสู่การโจมตีแบบฟิชชิ่งที่ซับซ้อน

ความกังวลด้านความปลอดภัย

ที่เกี่ยวข้องกับการแลกเปลี่ยนความปลอดภัยกองซ้อน: ความเสี่ยงด้านความปลอดภัยใดบ้างที่ผู้ขายซอฟต์แวร์ใช้พร็อกซี Intercepting SSL บนเดสก์ท็อปผู้ใช้

ในฐานะที่เป็นเอริคอเรนซ์เคยเขียน ,

ความสามารถในการสกัดกั้น HTTPS ของ Fiddler (ถูกต้อง) ยกระดับความน่าสนใจให้กับผู้ใช้ที่ใส่ใจเรื่องความปลอดภัย

นั่นเป็นเหตุผลที่ Fiddler เตือนเกี่ยวกับผลกระทบด้านความปลอดภัยของการสกัดกั้นการรับส่งข้อมูล HTTPS:

สกรีนช็อตของคำเตือนในตัว Fiddler

จากข้อผิดพลาดของผู้ใช้หรือการติดตั้งมัลแวร์ Fiddler ได้เชื่อมโยงกับปัญหาต่าง ๆ :

แม้ว่าไวโอลินตัวเองไม่ได้เป็นโปรแกรมที่เป็นอันตรายในทางที่ผิดและความเข้าใจผิดของมันนำไปสู่การที่ผ่านมาชื่อเสียงที่ไม่ดีและไวรัสแกล้งทำเป็นไวโอลิน


การถอด

ฉันไม่รู้ว่าคอมพิวเตอร์ของคุณถูกขโมยโดยนักจี้บางคนหรือไม่ แต่คุณระบุว่าคุณไม่มีเวลาล้างคอมพิวเตอร์และติดตั้งใหม่ดังนั้นหวังว่าขั้นตอนต่อไปนี้จะสามารถกำจัด Fiddler และคืนค่าพฤติกรรมการรักษาความปลอดภัยของเว็บที่เหมาะสม (ฉันขอแนะนำให้ติดตั้งใหม่และเปลี่ยนรหัสผ่านหลังจากนั้นโดยเฉพาะอย่างยิ่งถ้าคุณจริงจังกับเรื่องความปลอดภัยคุณเขียน Spybot - การค้นหาและทำลายพบมัลแวร์บางตัว)

คำนำ: ยกเลิกการกำหนดค่าซอดเดอร์

โปสเตอร์ต้นฉบับค้นพบขั้นตอนเพิ่มเติมเหล่านี้เพื่อแก้ไขปัญหาของเขากับ Fiddler:

ในที่สุดสิ่งที่แก้ไขคือ: การตั้งค่า -> แสดงการตั้งค่าขั้นสูง -> ภายใต้เครือข่าย -> เปลี่ยนการตั้งค่าพร็อกซี -> ขั้นสูง -> รีเซ็ต

และ

นอกจากนี้ในการตั้งค่า Fiddler ฉันปิดใช้งานตัวเลือกที่อนุญาตให้ถอดรหัส HTTPS ปริมาณข้อมูลก่อนที่จะถอนการติดตั้งและล้างใบรับรองอีกครั้ง

ลบใบรับรองหลักของ Fiddler

  1. กดWin+r
  2. เปิด: certmgr.msc
  3. ดูโฟลเดอร์ทั้งหมดและลบDO_NOT_TRUST_FiddlerRootใบรับรอง

ถอนการติดตั้ง Fiddler

  1. ไปที่แผงควบคุม»โปรแกรม»โปรแกรมและคุณสมบัติ
  2. ถอนการติดตั้ง Fiddler แหล่งที่มาหนึ่งกล่าวว่า Fiddler อาจเรียกว่า "FiddlerRoot" หรือ "BrowserSafeguard"

ล้างการตั้งค่าพร็อกซี

สมมติว่าปกติคุณไม่ใช้พร็อกซีอื่น ...

  1. ไปที่แผงควบคุม»ตัวเลือกอินเทอร์เน็ต
  2. ในคุณสมบัติอินเทอร์เน็ตไปที่แท็บ "การเชื่อมต่อ"
  3. ภายใต้ "การตั้งค่าเครือข่ายท้องถิ่น (LAN)" คลิกที่ "การตั้งค่า LAN"
  4. ล้างและยกเลิกการเลือกการตั้งค่าพร็อกซีเช่น: สกรีนช็อตของการตั้งค่าเครือข่ายท้องถิ่น (LAN)

ลบมัลแวร์

ตามที่แนะนำก่อนหน้านี้เกี่ยวกับผู้ใช้ขั้นสูงคุณควรพยายามค้นหาและลบมัลแวร์ดั้งเดิมที่แสดงเว็บเพจ HTTPS ที่ปรับเปลี่ยน

คำแนะนำโดยละเอียด:
ฉันจะลบสปายแวร์มัลแวร์แอดแวร์ไวรัสโทรจันหรือรูทคิทที่เป็นอันตรายออกจากพีซีของฉันได้อย่างไร


ขอบคุณสำหรับการเขียนรายละเอียด ฉันไม่สามารถพาตัวเองไปเชื่อว่า Fiddler นั้นชั่วช้าเพราะเพื่อนร่วมงานของฉันและฉันใช้มันเกือบทุกวันเป็นเวลาหลายปี ฉันเชื่อว่ามีสิ่งอื่นที่อาจใช้ประโยชน์จากใบรับรอง FiddlerRoot ฉันเคยติดตั้ง Fiddler แล้วและไม่ได้ทำการอัปเกรดเมื่อเร็ว ๆ นี้ปัญหานี้ปรากฏในไม่กี่วันที่ผ่านมา หากพู้ทำเล่นไร้สาระฉันไม่คิดว่ามันจะมี "DO_NOT_TRUST" ในชื่อใบรับรอง ในที่สุดสิ่งที่แก้ไขคือ: การตั้งค่า -> แสดงการตั้งค่าขั้นสูง -> ภายใต้เครือข่าย -> เปลี่ยนการตั้งค่าพร็อกซี -> ขั้นสูง -> รีเซ็ต
Derek Ziemba

นอกจากนี้ certlm.msc ยังไม่ปรากฏใน Win7 อย่างไรก็ตามฉันได้ลบรายการใบรับรองทั้งหมดสำหรับ Fiddler โดยใช้ certmgr.msc นอกจากนี้ในการตั้งค่า Fiddler ฉันปิดใช้งานตัวเลือกที่อนุญาตให้ถอดรหัส HTTPS ปริมาณข้อมูลก่อนที่จะถอนการติดตั้งและล้างใบรับรองอีกครั้ง หากคุณแก้ไขโพสต์ของคุณเพื่อรวมขั้นตอนที่แตกต่างกันเล็กน้อยเหล่านี้ฉันจะทำเครื่องหมายเป็นคำตอบเพราะท้ายที่สุดแล้วมันจะแก้ไขปัญหา
Derek Ziemba

@DerekZiemba: เพียงแค่ร้องเรียนต่าง ๆ ที่ฉันพบเกี่ยวกับ Fiddler ฉันไม่ทราบว่ามันคืออะไร แต่ตอนนี้ฉันได้ดูมันแล้วฉันเห็นว่ามันควรจะเป็นเครื่องมือที่ถูกต้องตามกฎหมาย ฉันได้เปลี่ยนคำตอบของฉันเพื่อลดข้อกล่าวหาและเพื่อให้ข้อเท็จจริงที่คุณแก้ไขถูกต้อง
Deltik

2
คุณสับสนมากเกี่ยวกับพู้ทำเล่น Fiddler เป็นเครื่องมือแก้ไขข้อบกพร่องบนเว็บ มันไม่มีพฤติกรรมที่เป็นอันตราย แต่อย่างใดและจะไม่ติดตั้งจนกว่าคุณจะติดตั้งเป็นการส่วนตัวโดยใช้ตัวติดตั้งที่ดาวน์โหลดจาก Telerik สถานการณ์ที่อธิบายไว้ในที่นี้คือชิ้นส่วนของมัลแวร์ที่พยายามหลีกเลี่ยงการตรวจจับโดยทำให้ตัวเองดูเหมือน Fiddler
EricLaw

สวัสดี @EricLaw ฉันรู้สึกเป็นเกียรติที่มีความเห็นอย่างเป็นทางการ / มีสิทธิ์ของคุณ มันเป็นความผิดของฉันที่ไม่รู้เรื่องและให้น้ำหนักกับ Fiddler ไม่เหมาะ ฉันได้แก้ไขคำตอบของฉันเพื่อรวมข้อมูลของคุณ ฉันขอโทษเกี่ยวกับความไม่สะดวก (หลังจากทั้งหมดคุณอยู่ใกล้พอที่จะเดินขึ้นมาหาฉันแล้วชกหน้าฉัน!)
Deltik
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.