- Problème résolu. Le cauase était un serveur DNS malveillant qui masque le code Google Analytics et charge le code modifié -Webview Android et fichier histats.js chargé dynamiquement
Pendant 8 heures, je suis aux prises avec un fichier javascript, mais je n'ai toujours pas résolu le problème.
Dans mon application Android j'utilise webview. Donc, normalement, il charge les pages de mon serveur web. Mais il semble que, lorsque mon application Android est installée en premier, Après le chargement de la page, un fichier js dynamique est chargé.
Lorsque je débogue, je vois dans la méthode onLoadResource(WebView view, String url)
de mon WebView, elle provient de histats.com. Je n'utilise pas la page histats. Je n'utilise que statcounter et google analytics.
Il semble donc que l'un des contenus de ma page charge dynamiquement histats.js. Lorsque histats est chargé, il affiche une publicité Adsense en haut de ma page. Vous pouvez trouver les fichiers js chargés ci-dessous.
Pour tester ce cas, chaque fois que je désinstalle mon application et que je le réinstalle. Parce que ce comportement se produit uniquement dans le premier chargement de Webview.
J'ai temporairement arrêté de charger le code Google Analytics pour ne pas afficher les avantages qui sont chargés par les histates. Lorsque analytics.js n'est pas chargé, histats.js ne se charge pas ou n'affiche pas de publicité. Mais j'ai besoin d'une solution permanente. Notez également que lorsque onLoadResource
est déclenché, le fichier histats.js est déjà chargé.
Remarques:
- Je ne pense pas que ce sera la cause, mais la semaine dernière, je demographics and interests report
activé - Dans mon site j'utilise adsense mais ma page d'ouverture ne doit pas le code adsense.
Alors, comment puis-je savoir quel élément provoque cela?
http://netdna.bootstrapcdn.com/bootstrap/3.1.1/css/bootstrap.min.css
http://cdnjs.cloudflare.com/ajax/libs/jquery.colorbox/1.4.33/example1/colorbox.css
http://cdnjs.cloudflare.com/ajax/libs/jquery/1.11.1/jquery.min.js
http://netdna.bootstrapcdn.com/bootstrap/3.1.1/js/bootstrap.min.js
http://cdn.jsdelivr.net/colorbox/1.5.6/jquery.colorbox-min.js
http://www.statcounter.com/counter/counter.js
http://netdna.bootstrapcdn.com/bootstrap/3.1.1/fonts/glyphicons-halflings-regular.woff
http://c.statcounter.com/t.php?sc_project=9470079&resolution=480&h=800&camefrom=&u=http%3A//example.com/mains/mypage/&t=Mobile%20hub%20-%20example.com&java=1&security=f927fd2c&sc_random=0.5743160555139184&sc_snum=1&p=0&invisible=1
http://www.google-analytics.com/analytics.js
http://s10.histats.com/js15_as.js
http://ad.exisolutions.com/gads/sp_336x280.html
http://s4.histats.com/stats/0.php?2672616&@f16&@g1&@h1&@i1&@j1400933555245&@k0&@l1&@mMobile%20hub%20-%20example.com&@n0&@o1000&@q0&@r0&@s0&@ten-IE&@u480&@vhttp%3A%2F%2Fexample.com%2Fmains%2Fmypage%2F&@w
http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js
http://googleads.g.doubleclick.net/pagead/html/r20140520/r20140417/zrt_lookup.html
http://pagead2.googlesyndication.com/pagead/js/r20140520/r20140417/show_ads_impl.js
http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-4244446356287789&format=336x280&output=html&h=280&slotname=1396969791&adk=1267119624&w=336&ea=0&flash=0&url=http%3A%2F%2Fexample.com%2Fmains%2Fmypage%2F&dt=1400933556220&bpp=179&shv=r20140520&cbv=r20140417&saldr=aa&correlator=1400933557079&frm=24&ga_vid=931282578.1400933557&ga_sid=1400933557&ga_hid=1996810608&ga_fc=0&u_tz=180&u_his=1&u_java=0&u_h=800&u_w=480&u_ah=800&u_aw=480&u_cd=32&u_nplug=0&u_nmime=0&dff=sans-serif&dfs=16&adx=0&ady=0&biw=-12245933&bih=-12245933&isw=336&ish=280&ifk=1348755138&eid=317150304%2C317150313&oid=3&rx=0&eae=2&jp=2&brdim=0%2C38%2C0%2C38%2C480%2C0%2C480%2C762%2C336%2C280&vis=1&fu=0&ifi=1&dtd=967
http://pagead2.googlesyndication.com/pagead/osd.js
http://googleads.g.doubleclick.net/mads/static/formats/templates.js
http://pagead2.googlesyndication.com/pagead/images/adc-i-00aecd.png
http://googleads.g.doubleclick.net/simgad/17675984934948895957
http://googleads.g.doubleclick.net/pagead/images/mobile_unified_button_icon_white.png
http://csi.gstatic.com/csi?v=3&s=gmob&action=&rt=crf.526,cri.947
http://www.gstatic.com/bg/BcR1_JHsmtBAKR1Crki_wuwBn2NQgHTsJL0mibVeye0.js
http://pagead2.googlesyndication.com/activeview?id=osdim&avi=BAqEktoyAU9C0FaTHiQa57YGoCwCJuoeQugEAABABOAHIAQKgBgKoE4AB&adk=1267119624&p=0,0,280,336&tos=0,0,0,0,0&mtos=0,0,0,0,0&rs=1&ht=0&swf=-&fp=client%3Dca-pub-4244446356287789%26url%3Dhttp%253A%252F%252Fexample.com%252Fmains%252Fmypage%252F%26correlator%3D1400933557079%26ifk%3D1348755138%26eid%3D317150304%252C317150313%26oid%3D3&afp=%26format%3D336x280%26output%3Dhtml%26slotname%3D1396969791%26flash%3D0%26dt%3D1400933556220%26adx%3D0%26ady%3D0%26ifi%3D1&r=i&bs=-12245933,-12245933&bos=480,762&ps=-12245933,-12245933&ss=480,800&tt=2470&pt=2195&deb=1-1-1-4-5--1&iframe_loc=http%3A%2F%2Fad.exisolutions.com%2Fgads%2Fsp_336x280.html&is=336,280
http://s4.histats.com/stats/e.php?2672616&@Ab&@R78479&@w
J'ai également ajouté le script suivant à la fin de ma page. Et vérifié pour le code HTML.
<script type="text/javascript">
$(document).ready(function() {
setTimeout(function() {
var htmlData=$("html").html();
var formData = {html:htmlData};
$.ajax({
url : "/log_this/",
type: "POST",
data : formData
});
}, 4000);
});
</script>
Il semble que ce code est injecté à la section de la tête de la page Web:
< script type="text/javascript" async="" src="http://s10.histats.com/js15_as.js" >
</script>
< script type="text/javascript" async="" src="http://s10.histats.com/js15_as.js" >
</script>
Edit 1:
histats charge également cette page: http://ad.exisolutions.com/gads/sp_336x280.html
En ce qui concerne à la source de cette page, il charge des publicités adsense avec cet éditeur: ca-pub-4244446356287789
Edit 2:
J'ai embelli le fichier initial pour savoir qui injecte ceci.
fichier laid: http://s10.histats.com/js15_as.js
Vous pouvez trouver la version embellis ici: http://jsbin.com/tenunike/1/
Edit 3:
Pour isoler le problème je me suis arrêté tout css et js comprend.
Aucun adsense n'est survenu. Mais alors j'ai activé google analytics js fichier inclus cela est arrivé à nouveau.
Donc, histats.js est inclus chaque fois que j'inclus google analytics.js fichier
Edit 4:
Après avoir obtenu ce problème est basé sur le code google Analytis, j'ai vérifié mon environnement de développement pour les virus, etc. Je reçois qu'un virus a changé mon DNS serveur à une adresse IP inconnue, comme ceci: 37.220.8.189.
Donc, l'analyse adresse de code est la suivante: http://www.google-analytics.com/analytics.js
Mais mon serveur DNS donne cette adresse IP: 188.165.174.188
fichier analaytics donc obtenu est cela, il a un code malveillant dans le: http://188.165.174.188/analytics.js
-je mettre une copie de ce code malveillant ici pour références futures: http://jsbin.com/mukijojo/1/edit
Modifier 5:
pendant des mois, ce problème se produit chaque fois dans un certain temps. J'ajoute donc mlicious adresse serer DNS ici:
37.220.8.189
31.3.252.69 et 31.3.252.68
problèmes aussi similaires:
https://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/
http://www.cbits.co.uk/ourblog/news/fake-flash-player-update-virus-routers-tp-link/
http://www.gohacking.com/dns-hijacking/
http://www.gohacking.com/hack-ethernet-adsl-router/