- Проблема решена. Cauase был злонамеренным DNS-сервером, который маскирует код Google Analytics и загружает измененный код.Веб-просмотр Android и динамически загруженный файл histats.js
В течение 8 часов я борюсь с файлом javascript, но я не мог решить проблему.
В моем приложении для Android я использую webview. Поэтому обычно он загружает страницы с моего веб-сервера. Но, похоже, когда мое приложение для Android установлено первым, после загрузки страницы загружается динамический js-файл.
Когда я отлаживаю, я вижу в своем методе onLoadResource(WebView view, String url)
в WebView, это от histats.com. Я не использую страницу гиста. Я использую только статистику statcounter и google.
Похоже, что одно из содержимого моей страницы динамически загружает histats.js. Когда загружается гиста, он показывает рекламу Adsense поверх моей страницы. Вы можете найти загруженные js-файлы ниже.
Для проверки этого случая, каждый раз, когда я удаляю приложение и переустанавливаю его. Поскольку это поведение происходит только в первой загрузке веб-просмотра.
Временно я прекратил загрузку кода Google Analytics, чтобы не показывать рекламу, загружаемую гистами. Когда analytics.js не загружается, histats.js не загружает или не показывает рекламу. Но мне нужно постоянное решение. Также обратите внимание, что при запуске onLoadResource
файл histats.js уже загружен.
Примечание:
- Я не думаю, что будет причина, но на прошлой неделе я активировал demographics and interests report
- На моем сайте я использую AdSense, но моя страница открытия не имеет кода AdSense.
Итак, как я могу узнать, какой элемент вызывает это?
http://netdna.bootstrapcdn.com/bootstrap/3.1.1/css/bootstrap.min.css
http://cdnjs.cloudflare.com/ajax/libs/jquery.colorbox/1.4.33/example1/colorbox.css
http://cdnjs.cloudflare.com/ajax/libs/jquery/1.11.1/jquery.min.js
http://netdna.bootstrapcdn.com/bootstrap/3.1.1/js/bootstrap.min.js
http://cdn.jsdelivr.net/colorbox/1.5.6/jquery.colorbox-min.js
http://www.statcounter.com/counter/counter.js
http://netdna.bootstrapcdn.com/bootstrap/3.1.1/fonts/glyphicons-halflings-regular.woff
http://c.statcounter.com/t.php?sc_project=9470079&resolution=480&h=800&camefrom=&u=http%3A//example.com/mains/mypage/&t=Mobile%20hub%20-%20example.com&java=1&security=f927fd2c&sc_random=0.5743160555139184&sc_snum=1&p=0&invisible=1
http://www.google-analytics.com/analytics.js
http://s10.histats.com/js15_as.js
http://ad.exisolutions.com/gads/sp_336x280.html
http://s4.histats.com/stats/0.php?2672616&@f16&@g1&@h1&@i1&@j1400933555245&@k0&@l1&@mMobile%20hub%20-%20example.com&@n0&@o1000&@q0&@r0&@s0&@ten-IE&@u480&@vhttp%3A%2F%2Fexample.com%2Fmains%2Fmypage%2F&@w
http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js
http://googleads.g.doubleclick.net/pagead/html/r20140520/r20140417/zrt_lookup.html
http://pagead2.googlesyndication.com/pagead/js/r20140520/r20140417/show_ads_impl.js
http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-4244446356287789&format=336x280&output=html&h=280&slotname=1396969791&adk=1267119624&w=336&ea=0&flash=0&url=http%3A%2F%2Fexample.com%2Fmains%2Fmypage%2F&dt=1400933556220&bpp=179&shv=r20140520&cbv=r20140417&saldr=aa&correlator=1400933557079&frm=24&ga_vid=931282578.1400933557&ga_sid=1400933557&ga_hid=1996810608&ga_fc=0&u_tz=180&u_his=1&u_java=0&u_h=800&u_w=480&u_ah=800&u_aw=480&u_cd=32&u_nplug=0&u_nmime=0&dff=sans-serif&dfs=16&adx=0&ady=0&biw=-12245933&bih=-12245933&isw=336&ish=280&ifk=1348755138&eid=317150304%2C317150313&oid=3&rx=0&eae=2&jp=2&brdim=0%2C38%2C0%2C38%2C480%2C0%2C480%2C762%2C336%2C280&vis=1&fu=0&ifi=1&dtd=967
http://pagead2.googlesyndication.com/pagead/osd.js
http://googleads.g.doubleclick.net/mads/static/formats/templates.js
http://pagead2.googlesyndication.com/pagead/images/adc-i-00aecd.png
http://googleads.g.doubleclick.net/simgad/17675984934948895957
http://googleads.g.doubleclick.net/pagead/images/mobile_unified_button_icon_white.png
http://csi.gstatic.com/csi?v=3&s=gmob&action=&rt=crf.526,cri.947
http://www.gstatic.com/bg/BcR1_JHsmtBAKR1Crki_wuwBn2NQgHTsJL0mibVeye0.js
http://pagead2.googlesyndication.com/activeview?id=osdim&avi=BAqEktoyAU9C0FaTHiQa57YGoCwCJuoeQugEAABABOAHIAQKgBgKoE4AB&adk=1267119624&p=0,0,280,336&tos=0,0,0,0,0&mtos=0,0,0,0,0&rs=1&ht=0&swf=-&fp=client%3Dca-pub-4244446356287789%26url%3Dhttp%253A%252F%252Fexample.com%252Fmains%252Fmypage%252F%26correlator%3D1400933557079%26ifk%3D1348755138%26eid%3D317150304%252C317150313%26oid%3D3&afp=%26format%3D336x280%26output%3Dhtml%26slotname%3D1396969791%26flash%3D0%26dt%3D1400933556220%26adx%3D0%26ady%3D0%26ifi%3D1&r=i&bs=-12245933,-12245933&bos=480,762&ps=-12245933,-12245933&ss=480,800&tt=2470&pt=2195&deb=1-1-1-4-5--1&iframe_loc=http%3A%2F%2Fad.exisolutions.com%2Fgads%2Fsp_336x280.html&is=336,280
http://s4.histats.com/stats/e.php?2672616&@Ab&@R78479&@w
Я также добавил следующий сценарий к концу моей страницы. И проверили для HTML-кода.
<script type="text/javascript">
$(document).ready(function() {
setTimeout(function() {
var htmlData=$("html").html();
var formData = {html:htmlData};
$.ajax({
url : "/log_this/",
type: "POST",
data : formData
});
}, 4000);
});
</script>
Похоже, что этот код вводится в головной части веб-страницы:
< script type="text/javascript" async="" src="http://s10.histats.com/js15_as.js" >
</script>
< script type="text/javascript" async="" src="http://s10.histats.com/js15_as.js" >
</script>
Edit 1:
histats также загружает эту страницу: http://ad.exisolutions.com/gads/sp_336x280.html
Относительно к источнику этой страницы, он загружает объявления adsense с этим издателем: ca-pub-4244446356287789
Редактировать 2:
Я украсил исходный файл, чтобы узнать, кто его вводит.
Гадкий файл: http://s10.histats.com/js15_as.js
Вы можете найти Приукрашена версию здесь: http://jsbin.com/tenunike/1/
Edit 3:
Чтобы изолировать проблему, я остановил все CSS и JS файл содержит.
Не было обнаружено никаких атак. Но затем я включил gogle-файл google analytics, и это произошло снова.
Так что гистаты.файл JS включается всякий раз, когда я включаю google analytics.js файл
Редактировать 4:
После получения этой проблемы основано на Google Code analytis, я проверил свою среду разработки на наличие вирусов и т.д. Так что я понимаю, что вирус изменил мой DNS сервер к неизвестному IP, например: 37.220.8.189.
Так аналитика код адрес это: http://www.google-analytics.com/analytics.js
Но мой DNS сервер предоставляет этот IP: 188.165.174.188
Так результирующий файл analaytics это, он имеет вредоносный код в нем: http://188.165.174.188/analytics.js
Я положил копию этого вредоносного кода здесь для будущих ссылок: http://jsbin.com/mukijojo/1/edit
Edit 5:
в течение нескольких месяцев эта проблема возникает каждый раз в то время. Так что я добавить mlicious адрес DNS Serer здесь:
37.220.8.189
31.3.252.69 и 31.3.252.68
Также подобные проблемы:
https://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/
http://www.cbits.co.uk/ourblog/news/fake-flash-player-update-virus-routers-tp-link/
http://www.gohacking.com/dns-hijacking/
http://www.gohacking.com/hack-ethernet-adsl-router/