Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Новости информационных технологий (http://forum.oszone.net/forumdisplay.php?f=47)
-   -   Вредоносная сетевая реклама подвергает риску миллионы пользователей (http://forum.oszone.net/showthread.php?t=321551)

OSZone News 08-12-2016 16:30 2694077
Вредоносная сетевая реклама подвергает риску миллионы пользователей
 
IT » Вредоносная сетевая реклама подвергает риску миллионы пользователей
С октября миллионы пользователей глобальной сети подвергаются воздействию вредоносного кода, который скрывается в пикселях внутри баннерной рекламы и предназначен для установки троянов и шпионов, сообщает компания ESET. Кампания под названием Stegano использует эту вредоносную рекламу на ряде популярных новостных сайтов. Она нац...


Читать дальше на OSZone.net: "Вредоносная сетевая реклама подвергает риску миллионы пользователей"

x0r 09-12-2016 00:45 2694215
Зря такие ссылки делаете
Код:
http://www.oszone.net/30437/Malicious_online_ads_expose_millions
у мя оно попадает в фильтр рекламы по шаблону
Код:
_ads_
;-)

Iska 09-12-2016 00:56 2694219
x0r, это просто у Вас неправильный блокировщик или фильтр ;).

x0r 09-12-2016 20:18 2694415
Iska, собственного изготовления :tongue:
... точнее правила свои, плугин конечно чужой.

Nordek 09-12-2016 21:59 2694429
x0r, Это у вас блокировщик неправильный.
В нормальном по "_ads_" блокируется содержимое загружаемое страницей. Для определённо нужного можно добавить в исключение "@@_ads_", даже для конкретного домена "@@_ads_$domain=oszone.net".

x0r 09-12-2016 23:18 2694441
Nordek, да ну, шюткаямора же :) Я прекрасно знаю что и как у мя работает и зачем. фильтры в SilentBlock основаны на JS REGEX и блокируется "в слепую" много доменов-урл, про которые я даже не знаю, что они рекламные. т.е. тут не нужен список доменов в сотни килобайт, как таковых.
Скрытый текст
Код:
# парочка примеров. в этом случае сработало первое правило
(?:\W|_)ad(?!%)[sv]+(?:\W|_|\d+)
# ---------------------------------------------------- шаблон1 ------------------------------------------------------
\Wad(?!%)(?:labs?|look|mixer|master(\w+)?|market\w+|sense|servone|code|creative)[\W_]
# ---------------------------------------------------- шаблон2 ------------------------------------------------------
#[\/\.](?:\d{0,3})?adserv(?:er|ices)?[\/\.]
\W(?:\d{0,3})?adserv(?:er|ices)?\W
# --------------------------------------------------шаблон4 ----------------------------------------------------
\Wt(?:ea|i)(?:s|z)ers?(?:net|bank|media|lady)\W
# ---------------------------------------------------------------------------------------------------------------------
\Wad[sv]\w+\.\w{2,4}\W

... есть и белый список, конечно. Так что статью я прочитал, сё нормально. Не первый раз натыкаюсь на норм. урл с описанием какой-нибудь малвари, где линк зачем-то делают подобный.
Прост, думаю что это странно, делать такие линки.

Iska 10-12-2016 04:52 2694464
Цитата:
Цитата x0r
Прост, думаю что это странно, делать такие линки. »
Это нормально.

Nordek 10-12-2016 11:13 2694488
x0r, Вы за правило ещё возьмите блокировать по условию "nocopy".
Не обязательно реклама может содержаться на сайтах, страницах или в скриптах с названием "adv".
Есть сайты, скрипты, в имени которых присутствуют "ad" "adv" "ads" - причём при таком условии, к рекламе ни какого отношения не имеют.
С начала Opera 12 принял за правило не использовать в фильтрах условия "ad" "adv" "ads".
Лучше использовать полный путь к данным исключая расширения, например:
Код:
||сайт.ru/ads/advert*
||сайт.ru/Content/Advertising/Frames/Banners*
ещё лучше к определённому домену:
Код:
||сайт.ru/ads/advert*$domain=сайт.ru
||сайт.ru/Content/Advertising/Frames/Banners*$domain=сайт.ru
не всегда такое блокируется:
Код:
||tns-counter.ru/V13a***
поскольку не исключено то, что при блокировании функциональность сайта нарушается.

Имеет место быть такому, где например: с *de.adhigh.net "подтянется" один файл, при помощи которого загрузятся другие данные но уже с ads.kiosked.com, adv.mamba.ru и т.д.
К тому же, пока вы будете доминировать "adv" и возомнив себе что весь спам блокирован, тем временем "тихонько и беспрепятственно подтянется" спам с akamaihd.net, amazonaws.com или ещё откуда-нибудь. Что-то получит ваши предпочтения, а где нельзя отключить рекламу вам будут предложены волшебные капли китайских монахов от "геморроя".
И далеко не всегда будет присутствовать контент или сайт в котором пользователь надеется увидеть в имени "ad", ведь подающий далеко не глупее принимающего.
Например сайты иметь название tovarro.com, worldssl.net, oconner.biz, datamind.ru и т.д, а название в контенте иметь вид "66f6e3f37d213970737". Причём допустимо то, что название изменится т.е при обновлении страницы уже окажется не "66f6e3f37d213970737", а "b15g4h84545hg3f32f1f".
И ещё много какие другие нюансы есть.
И не всегда может означать то, что что-то загружается со стороннего ресурса - это реклама. Это опять заблуждение, поскольку допустима загрузка стилей например с bootstrapcdn.com (После не стоит удивляться: Почему вместо стрелочек на выходе некрасивые квадратики, дополнительно шрифты стали какие-то не такие.).

x0r 10-12-2016 15:01 2694537
Nordek, это всё верно. Пральна. Согласен.
Только яж грю, у меня другое. то что 90% рунета сидят на клонах расширения Adblock и его формате правил тоже знаю. Я с Оперы слез и искал её аналог urlfiltr, нашел даже лучше.
Если коротко, то это все тоже не грузится, потому как правил хоть и не много, но они есть ~9.6KB сейчас. Я не маньячу, режу только самую вырвиглазную рекламу, баннеры со звуком вырываюцца с корнем.
Цитата:
Цитата Nordek
например: с *de.adhigh.net "подтянется" один файл, при помощи которого загрузятся другие данные но уже с ads.kiosked.com, adv.mamba.ru и т.д. »
в том-то и дело. первый может и подтянется, но остальные нет. расширение сидит очень низко и фильтрует вообще все обращения к сети бравзера. Только что base64 не расшифровывает :)
Цитата:
Цитата Nordek
Например сайты иметь название tovarro.com, worldssl.net, oconner.biz, datamind.ru и т.д, а название в контенте иметь вид "66f6e3f37d213970737". Причём допустимо то, что название изменится т.е при обновлении страницы уже окажется не "66f6e3f37d213970737", а "b15g4h84545hg3f32f1f". »
Тоже знаю, но у этих cdn тоже есть урл по которому будет грузиться, а в нем параметры всякие(одинаковые) - вот их-то я и поймаю по REGEX:
Код:
\/x?gemius(\/|\.js)
\?adsdata\W
\?zoneid=\d
# одно время, когда учил эти регулярки заделал правило кот-е ловит в сцылке разрешение экрана
# доделал  и отключил
#&\w+=\d{4}&\w+=\d{4}&\w+=\d{2}&
... и стоп загрузка по этой ссылке.
Цитата:
Есть сайты, скрипты, в имени которых присутствуют "ad" "adv" "ads" - причём при таком условии, к рекламе ни какого отношения не имеют.
для этого в фильтрах и стоит \W - не буквенно-цифровой. т.е. downloads или advanced не попадают, но ежли у них вначале и в конце идет не буква-цифра(часто это точка, '=' , или нижнее подчеркивание в передаваемых параметрах url) - режем.
+ файл исключений есть и просто внес туда:
Код:
^http:\/\/www\.oszone\.net\/
и сё. REGEX моща, хоть и мутная, но моща :yes:

ivan_krasnoyarov@vk 11-12-2016 14:22 2694769
Цитата:
Для заражения жертв хакеры используют пиксели внутри рекламы и контролирующие прозрачность пикселей параметры, что позволяет не быть замеченными рекламными сетями.
Вот поэтому и использую фильтр рекламы на многих сайтах, в особенности, где назойливые до одного места. На доверяющих сайтах предпочитаю вырубать.


Время: 23:25.

Время: 23:25.
© OSzone.net 2001-