Popup indesiderati

[Wotan]

Ciao a tutti,

ho ricevuto segnalazione da un utente di un problema riguardante finestre popup indesiderate contenenti pubblicità, che si aprono durante la navigazione del sito. Sta utilizzando un Mac con Firefox e Chrome.

Dopo verifica ho constatato che anche col PC compaiono queste finestre, ma a me succede solo con Explorer, non con Firefox. Riprovando una seconda volta con Explorer non ha più dato problemi.

Un altro utente ha riscontrato lo stesso problema.

Fin'ora sono comparse due finestre diverse una con la pubblicità del gioco pirate storm una con la pubblicità di vivi, lavora e studia negli States... una roba dl genere.

Da dove può derivare il problema?
Presumo sia un problema legato al dominio visto che accomuna chi usa il Mac e Pc.
Sarà qualche codice malware inserito nelle pagine del sito?
Come risolvere?

Ultimamente ho inserito manualmente una riga di codice relativa alle stratistiche di Motigo. E' l'unica variazione "fuori standard" che ho applicato al codice che mi ricordi, tutto il resto è stato tenuto originale ed aggiornato.

Ho cercato nel forum ma ho trovato solo riferimenti a Joomla 1.0

Il sito è www.sogsix.it

Grazie in anticipo...

[mau_develop]

se hai un malware lo puoi accertare o con google o con blog sucuri sitecheck

se hai un malware ricadi nei 6500 post di qs sezione dove è stato detto di tutto e di più su come operare.

M.

[Wotan]

Grazie della risposta. Sei stato molto chiaro.

Intanto che ne aspetto una diversa da una sfumatura qualsiasi di "usa il tasto cerca" vedrò di arrangiarmi in qualche modo...

[Wotan]

Verificato con

urlvoid
phishtank
avg
onlinelinkscan
sucuri

nessuna anomalia riscontrata
dai risultati di sucuri non risulta alcuno script anomalo

Suggerimenti?

[mau_develop]

un bel giro di tutti i pc in mod provvisoria fuori rete e con almeno 2 antivirus

M.

[mau_develop]

ok, ho visto io... è quel motigo che richiama un adv da

GET hXXp://eas.apm.emediate.eu/eas?cu=9414;ord=0.1984919706278051;cre=mu;js=y;EASInclude2=webstats;EASInclude3=0 Azione[LOAD_NORMAL] Dimensioni del contenuto[180] Mime Type[application/x-javascript]
   Richiesta dell'intestazione:
      Host[eas.apm.emediate.eu]
      User-Agent[Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)]
      Accept[*/*]
      Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
      Accept-Encoding[gzip, deflate]
      DNT[1]
      Connection[keep-alive]
      Referer[http://www.sogsix.it/]
   Risposta dell'intestazione:
      Date[Tue, 25 Sep 2012 16:54:40 GMT]
      Server[Apache/2.2.16 (Debian)]
      Cache-Control[no-cache, must-revalidate]
      Expires[Thu, 18 May 2006 01:00:00 GMT]
      P3P[CP="NOI DSP COR PSAo PSDo BUS OUR"]
      Set-Cookie[eas_geo=c380:r10837:y1731:b2:z185; path=/; expires=Wed, 26-Sep-12 04:54:40 GMT;
eas_uid=1-1348592080990915535; path=/; expires=Mon, 16-Mar-20 01:00:00 GMT;]
      Vary[Accept-Encoding,User-Agent]
      Content-Encoding[gzip]
      Content-Length[180]
      Connection[close]
      Content-Type[application/x-javascript; charset=ISO-8859-1]

M

[Wotan]

Fantastico, uno installa un software per le statistiche e si ritrova dei popup.

Grazie mille, mi hai confermato un sospetto, alla fine ho cercato di blindare il più possibile il sito, era rimasto solo quello...

Che sia il caso di mandargli una mail?
Come hai fatto ad ottenere quel feedback?

Grazie ancora... Provvedo ad eliminare quella porcata.

[mau_develop]

firefox con 3 addons:

- Modify headers -> mi sono presentato con gli headers di ogni browser che hai detto, ognuno il medesimo risultato, quindi nn dipende dal browser

- Tamper data -> vedo cosa chiedo e cosa mi risponde il server
- Noscript -> parto da una situazione "nessun script" può essere caricato. Caricandoli 1 a 1 vedo in tamper cosa mi risponde e quando mi ritorna qualcosa di strano.
Al permesso di eseguirsi di quel inclusione che hai fatto partive una finestra che faceva una richiesta ad altro dominio

...tante parole ma... 5 minuti

ps se tutto ciò non mi aiuta uso burpsuite che fa da proxi e non passa spillo che tu non veda, approvi,modifichi

M.

[Wotan]

Ottimo, sei stato utilissimo ti ringrazio.

Ho eliminato lo script dalla pagina principale, vediamo gli utenti che feedback mi danno.

Tra parentesi, sono andato a leggermi i termini di utilizzo di Motigo, ed è scritto esplicitamente che utilizzando il servizio loro possono fare pubblicità anche in questo modo.
Purtroppo sono stato avvisato dopo giorni, in quanto a me non compariva proprio nulla... magari Adblock ha influito, chissà.

Quindi risolto un problema che alla fine era colpa mia. Mezza giornata persa per non aver letto una pagina web. Ben mi sta.

Grazie mille ancora provvedo a mettere "risolto" appena mi confermano che la cosa si è sistemata.