Поиск в Google угнали только тогда, когда не наблюдали. Присоединение отладчика возвращает нормальные результаты

1103
Derek Ziemba

Я не могу понять это. Я заметил, что мои результаты поиска были немного «другими» в последнее время.

  • Я не вошел в систему, когда я выполняю поиск в Google, но если я нажму "Изображения" или "Видео", я буду отображаться как вошедший в систему.
  • На боковой панели страницы поиска нет информации о Википедии.
  • Если я отключу Ghostery и uBlock, многие результаты будут рекламными.

Я решил проверить инструменты разработчика и заметил, что на странице был SyntaxError, я щелкнул по нему, и он фактически приводит к функции javascript, которая заменяет веб-адрес Google.

Кажется, что проблема возникает только в Chrome, вот тут-то рядом с Firefox: http://i.imgur.com/7J1G9mR.png

Я попытался подключить Fiddler Web Debugger для захвата трафика, чтобы я мог видеть, куда меня перенаправляют. Но как только я присоединяю веб-отладчик, все исчезает, и я получаю настоящую страницу поиска ... Источник страницы, когда захватывает Fiddler, совершенно другой.

Ниже приведен скриншот GIFV, показывающий это. Он начинается с захваченной страницы, и я обводю курсор вокруг некоторых схематичных дополнительных исходных файлов javascript. Затем я говорю Fiddler для захвата трафика и обновления результатов поиска. Страница, которую я обслуживаю, совершенно другая. Наконец, я снова отключаю захват трафика и обновляю страницу, чтобы показать захваченную страницу, и вхожу в функцию с синтаксической ошибкой, которая должна заменить веб-адрес.

http://i.imgur.com/gbWkkLp.gifv

Я запустил Malwarebytes и не получил никаких результатов. Spybot сделал несколько попаданий, но их удаление не решило проблему. Я также полностью сбросил Chrome, используя инструмент Googles. Если я использую другой веб-профиль, например, тот, в котором я выставляю счета, я не получаю результатов поиска. Если я включу Fiddler, вдруг я получу результаты. enter image description here

12
Google использует HTTPS для предоставления вам результатов. Проверьте сертификат своего сайта и [убедитесь, что он подписан Google Internet Authority G2] (http://i.stack.imgur.com/nRU9m.png). Если нет, кто-то добавил новый корневой сертификат на ваш компьютер и захватывает ваш трафик. Deltik 8 лет назад 2
Вы можете быть на что-то здесь. Он был подписан «DO_NOT_TRUST_FiddlerRoot», так что это может не совпадать с тем, что он работает, когда fiddler захватывает трафик. http://i.imgur.com/b61IkYc.png Я удалил все сертификаты Fiddler с помощью certmgr.cfg. Был ли мишень для скрипача? После удаления FiddlerRoot я не могу получить доступ к google.com. Derek Ziemba 8 лет назад 0
Похоже, что Fiddler был связан с рекламным ПО HTTPS в прошлом, [здесь, в Super User] (http://superuser.com/a/896078/83694). Возможно, вы захотите избавиться от скрипача. Вероятно, также измените свои пароли, как только вы на безопасном компьютере. Deltik 8 лет назад 1
После перезапуска я снова могу получить доступ к Google, и сертификат подписывается «Google Internet Authority G2», но только если для Fiddler установлено значение «Захват трафика». Когда Fiddler не захватывает или не удаляется, Google возвращается к использованию недействительного сертификата. Я не успеваю все переустанавливать ... Derek Ziemba 8 лет назад 0
Различные вредоносные программы проверяют, используется ли Fiddler, и если это так, они прекращают свою вредоносную деятельность, чтобы попытаться скрыть свои действия. EricLaw 8 лет назад 0

1 ответ на вопрос

8
Deltik

Некоторые вредоносные программы, вероятно, выдавали себя за Fiddler, как указывал первоначальный разработчик Fiddler Эрик Лоуренс :

Различные вредоносные программы проверяют, используется ли Fiddler, и если это так, они прекращают свою вредоносную деятельность, чтобы попытаться скрыть свои действия.

( источник )

Fiddler - это инструмент веб-отладки. У него нет вредоносного поведения, и он никогда не будет установлен, если вы лично не установите его с помощью установщика, загруженного из Telerik. Описанный здесь сценарий представляет собой вредоносное ПО, которое пытается избежать обнаружения, делая себя похожим на Fiddler.

( источник )


Поведение

Наиболее явным признаком вредоносного ПО является то, что Google Chrome не загружает веб-сайты HTTPS, как предполагалось, если вы не используете Fiddler для захвата трафика. Fiddler не предназначен для вмешательства в ваш обычный просмотр веб-страниц, когда он не используется.

Чтобы вредоносная программа скрылась, ей необходимо перехватить прокси-сервер Fiddler и передать HTTPS-трафик с помощью закрытого ключа сертификата Fiddler. Это тривиально изменить настройки прокси - сервера, и можно получить копию секретного ключа при инсталляции Скрипач .

Корневой сертификат

Fiddler установил корневой сертификат на ваш компьютер, который позволяет ему вставлять себя как посредник (MitM) для мониторинга содержимого данных, отправляемых по HTTPS:

Screenshot from https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

В отличие от этого, вот как https://www.google.com/ обычно доверяют:

Screenshot of proper Google HTTPS security chain

Ваш компьютер доверяет DO_NOT_TRUST_FiddlerRootсертификату, потому что он был установлен в хранилище сертификатов вашей операционной системы.

Прокси для перехвата HTTPS

Вы указали, что HTTPS работает правильно в Mozilla Firefox, который можно настроить на использование собственных независимых правил прокси, а не правил прокси операционной системы. Google Chrome использует прокси операционной системы без простой опции, чтобы сделать иначе.

Проходя через прокси на уровне операционной системы Fiddler, Fiddler теперь может быть MitM для захвата незашифрованных HTTPS-данных, пока он обслуживает сайт. Fiddler выбирает какую-то веб-страницу, а затем подписывает ее как «www.google.com», используя сертификат, которому доверяли ранее DO_NOT_TRUST_FiddlerRoot.

При таких обстоятельствах вредоносное ПО может захватить как прокси, так и сертификат, чтобы сообщить вам неправильный сайт, но при этом показать вам green lock icon. Я вижу, что это ведет к сложным фишинговым атакам.

Проблемы безопасности

Связано с обменом стеками безопасности: какие угрозы безопасности представляют поставщики программного обеспечения, развертывающие SSL Перехват прокси на рабочих столах пользователей

Как однажды написал Эрик Лоуренс ,

Возможности перехвата HTTPS в Fiddler (справедливо) вызывают удивление у пользователей, которые заботятся о безопасности.

Вот почему Fiddler предупреждает о последствиях для безопасности перехвата HTTPS-трафика:

Screenshot of a Fiddler built-in warning

Из-за ошибки пользователя или установки вредоносного ПО Fiddler был связан с различными проблемами:

Хотя сама Fiddler не является вредоносной программой, ее неправильное использование и недоразумения привели к тому, что в прошлом плохая репутация и вирусы притворялись Fiddler .


Удаление

Я не знаю, был ли ваш компьютер скомпрометирован каким-либо угонщиком Fiddler, но вы указали, что у вас нет времени, чтобы стереть компьютер и переустановить его, так что, надеюсь, следующие шаги помогут избавиться от Fiddler и восстановить правильное безопасное веб-поведение. (Я бы порекомендовал переустановить и изменить ваши пароли после этого, особенно если вы серьезно относитесь к безопасности. Вы писали, что Spybot - Search & Destroy обнаружил какое-то вредоносное ПО.)

Предисловие: отменить настройку Fiddler

Оригинальный плакат обнаружил эти дополнительные шаги, чтобы решить его проблему с Fiddler:

В конечном итоге, что это было исправлено: Настройки -> Показать дополнительные настройки -> В сети -> Изменить настройки прокси -> Дополнительно -> Сбросить

а также

Также в настройках Fiddler я отключил параметры, позволяющие ему дешифровать HTTPS-трафик перед удалением и повторной очисткой сертификатов.

Удалить корневой сертификат (ы) Fiddler

  1. Нажмите Win+r
  2. Открыто: certmgr.msc
  3. Просмотрите все папки и удалите DO_NOT_TRUST_FiddlerRootсертификат.

Удалить Fiddler

  1. Перейдите в Панель управления »Программы» Программы и компоненты.
  2. Удалить Fiddler. Один источник сообщает, что Fiddler может называться «FiddlerRoot» или «BrowserSafeguard».

Очистить настройки прокси

Предполагая, что вы обычно не используете другой прокси…

  1. Зайдите в Панель управления »Свойства обозревателя.
  2. В свойствах Интернета перейдите на вкладку «Подключения».
  3. В разделе «Настройки локальной сети» нажмите «Настройки локальной сети».
  4. Очистите и снимите флажки с настройками прокси-сервера следующим образом: Screenshot of Local Area Network (LAN) Settings

Удалить вредоносные программы

Как предлагалось ранее для Super User, вы должны попытаться найти и удалить исходное вредоносное ПО, отображающее измененные веб-страницы HTTPS.

Подробный совет:
как удалить со своего компьютера вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты?

Спасибо за подробную рецензию. Я не могу заставить себя поверить, что Fiddler является гнусным, потому что мои коллеги и я использую его почти каждый день в течение многих лет. Я могу поверить, что что-то еще, возможно, воспользовалось сертификатом FiddlerRoot. У меня всегда был установлен Fiddler, и я недавно не делал обновления, эта проблема появилась в последние несколько дней. Если бы Fiddler был гнусным, я не думаю, что в названии сертификата было бы "DO_NOT_TRUST". В конечном итоге, что это было исправлено: Настройки -> Показать дополнительные настройки -> В сети -> Изменить настройки прокси -> Дополнительно -> Сбросить Derek Ziemba 8 лет назад 0
Кроме того, certlm.msc, по-видимому, не доступен в Win7. Однако я удалил все записи сертификатов для Fiddler, используя certmgr.msc. Также в настройках Fiddler я отключил параметры, позволяющие ему дешифровать HTTPS-трафик перед удалением и повторной очисткой сертификатов. Если вы отредактируете свой пост, включив в него несколько отличающиеся этапы, я отмечу это как ответ, потому что в конечном итоге это решило проблему. Derek Ziemba 8 лет назад 0
@DerekZiemba: Обращаясь только к различным жалобам, которые я нашел о Fiddler, я не знал, что это было, но теперь, когда я посмотрел его, я вижу, что он должен быть законным инструментом. Я изменил свой ответ, чтобы сделать его менее обвинительным, а также включить исправленные факты, которые вы нашли. Deltik 8 лет назад 0
Вы * ОЧЕНЬ * запутались в Fiddler. Fiddler - это инструмент веб-отладки. У него нет вредоносного поведения, и он никогда не будет установлен, если вы лично не установите его с помощью установщика, загруженного из Telerik. Описанный здесь сценарий представляет собой вредоносное ПО, которое пытается избежать обнаружения, делая себя похожим на Fiddler. EricLaw 8 лет назад 2
Привет @EricLaw. Для меня большая честь иметь ваш официальный / авторитетный комментарий. Я виноват в том, что был не информирован и дал неоправданный вес Фиддлеру. Я отредактировал свой ответ, чтобы включить ваш вклад Я извиняюсь за неудобства. (В конце концов, вы достаточно близко, чтобы подойти ко мне и ударить меня по лицу!) Deltik 8 лет назад 0

Похожие вопросы