Google खोज केवल तभी देखी गई जब अवलोकन नहीं किया जा रहा है। डिबगर संलग्न करना सामान्य परिणाम देता है


12

मैं इसका पता नहीं लगा सकता। मैंने देखा कि मेरे खोज परिणाम थोड़े "अलग" थे जैसे देर से।

  • जब मैं एक Google खोज करता हूं, तो मुझे साइन इन नहीं किया जाता है, लेकिन यदि मैं "चित्र" या "वीडियो" पर क्लिक करता हूं तो मुझे साइन इन दिखाया गया है।
  • खोज पृष्ठ के साइडबार में कोई विकिपीडिया जानकारी नहीं है।
  • यदि मैं घोस्टरी और uBlock को अक्षम करता हूं, तो कई परिणाम विज्ञापन हैं।

मैंने डेवलपर टूल की जांच करने का निर्णय लिया और देखा कि पृष्ठ में एक सिंटैक्स ईयररॉफ़ था, मैंने इसे क्लिक किया और यह वास्तव में एक जावास्क्रिप्ट फ़ंक्शन की ओर जाता है जो Google वेब पते को बदल देता है।

समस्या केवल Chrome में होती है, यहाँ फ़ायरफ़ॉक्स के साथ एक साइड-बाय-साइड दिया गया है: http://i.imgur.com/7J1G9mR.png

मैंने ट्रैफ़िक कैप्चर करने के लिए फ़िडलर वेब डिबगर को संलग्न करने का प्रयास किया ताकि मैं देख सकूं कि मैं कहां अनुप्रेषित कर रहा हूं। लेकिन जैसे ही मैं एक वेब डिबगर संलग्न करता हूं यह सब चला जाता है और मुझे वास्तविक खोज पृष्ठ पर काम किया जाता है .... जब फिडलर कैप्चर कर रहा है तो पृष्ठ स्रोत पूरी तरह से अलग है।

नीचे एक स्क्रीन कैप्चर gifv दिखाया गया है। यह अपहृत पृष्ठ के साथ शुरू होता है और मैं अपने कर्सर को कुछ स्केची अतिरिक्त जावास्क्रिप्ट स्रोत फ़ाइलों के आसपास घेरता हूं। फिर मैं फ़िडलर से कहता हूं कि ट्रैफ़िक पर कब्जा करें और अपने खोज परिणामों को ताज़ा करें। मेरे द्वारा सर्व किया गया पृष्ठ पूरी तरह से अलग है। अंत में मैं ट्रैफ़िक कैप्चर को फिर से अक्षम करता हूं और अपहृत पृष्ठ को दिखाने के लिए पृष्ठ को ताज़ा करता हूं और आपको सिंटैक्स त्रुटि के साथ फ़ंक्शन पर ले जाता हूं जो वेब पते को बदलने के लिए माना जाता है।

http://i.imgur.com/gbWkkLp.gifv

मैंने मालवेयरबाइट्स चलाया और कोई परिणाम नहीं मिला। स्पाइबोट कुछ हिट के साथ आया था, लेकिन उन्हें हटाने से समस्या ठीक नहीं हुई। मैंने Googles प्रदान किए गए टूल का उपयोग करके क्रोम को पूरी तरह से रीसेट कर दिया है। यदि मैं एक अलग वेब प्रोफ़ाइल का उपयोग करता हूं, जैसे कि मैं अपने बिल को अंदर करता हूं, तो मुझे कोई खोज परिणाम नहीं मिलता है। यदि मैं फ़िडलर को सक्षम करता हूं, तो अचानक मुझे परिणाम मिलते हैं। यहाँ छवि विवरण दर्ज करें


2
Google आपको परिणाम प्रदान करने के लिए HTTPS का उपयोग करता है। उनके साइट प्रमाणपत्र की जाँच करें और सुनिश्चित करें कि यह Google इंटरनेट प्राधिकरण G2 द्वारा हस्ताक्षरित है । यदि नहीं, तो किसी ने आपके कंप्यूटर में एक नया रूट सर्टिफिकेट जोड़ा है और आपके ट्रैफ़िक को हाईजैक कर रहा है।
डेल्टिक

आप यहाँ पर हो सकते हैं। यह "DO_NOT_TRUST_FiddlerRoot" द्वारा हस्ताक्षरित किया गया था, इसलिए यह एक संयोग नहीं हो सकता है कि यह काम करता है जब फ़िडलर ट्रैफ़िक कैप्चर कर रहा हो। i.imgur.com/b61IkYc.png मैंने certmgr.cfg का उपयोग करके सभी फ़िडलर प्रमाणपत्रों को हटा दिया। क्या फिडलर को निशाना बनाया गया था? FiddlerRoot को हटाने के बाद से, मैं google.com
डेरेक ज़ीम्बा

1
ऐसा लगता है कि फिडलर अतीत में एचटीटीपीएस एडवेयर से जुड़े हैं, यहीं सुपर यूजर पर । आप फिडलर से छुटकारा पाना चाह सकते हैं। एक बार जब आप सुरक्षित कंप्यूटर पर होते हैं, तो संभवतः अपने पासवर्ड बदलें।
डेल्टीक

पुनः आरंभ करने के बाद, मैं फिर से Google तक पहुँच सकता हूं और "Google इंटरनेट प्राधिकरण G2" द्वारा प्रमाण पत्र पर हस्ताक्षर किए जाते हैं, लेकिन केवल तभी जब मैंने फ़िडलर को ट्रैफ़िक कैप्चर करने के लिए सेट किया हो। जब फ़िडलर कैप्चर या अनइंस्टॉल नहीं किया जाता है, तो Google अमान्य प्रमाणपत्र का उपयोग करके वापस चला जाता है। मेरे पास सब कुछ पुनः स्थापित करने का समय नहीं है ...
डेरेक ज़ीम्बा

मैलवेयर के विभिन्न टुकड़े यह जांचते हैं कि क्या फ़िडलर उपयोग में है, और यदि ऐसा है, तो वे अपने कार्यों को छिपाने के लिए अपनी दुर्भावनापूर्ण गतिविधियों को करना बंद कर देते हैं।
एरिकला

जवाबों:


8

कुछ मैलवेयर संभवतः फिडलर को प्रतिरूपित कर रहे थे , जैसा कि फिडलर के मूल डेवलपर एरिक लॉरेंस ने बताया था:

मैलवेयर के विभिन्न टुकड़े यह जांचते हैं कि क्या फ़िडलर उपयोग में है, और यदि ऐसा है, तो वे अपने कार्यों को छिपाने के लिए अपनी दुर्भावनापूर्ण गतिविधियों को करना बंद कर देते हैं।

( स्रोत )

फिडलर एक वेब डिबगिंग टूल है। इसका कोई दुर्भावनापूर्ण व्यवहार नहीं है, और यह तब तक स्थापित नहीं किया जाता है जब तक कि आप व्यक्तिगत रूप से इसे टेलरिक से डाउनलोड किए गए इंस्टॉलर का उपयोग करके स्थापित नहीं करते हैं। यहां वर्णित परिदृश्य मैलवेयर का एक टुकड़ा है जो खुद को फिडलर की तरह बनाकर पता लगाने से बचने का प्रयास कर रहा है।

( स्रोत )


व्यवहार

मैलवेयर का सबसे स्पष्ट संकेत यह है कि Google Chrome HTTPS वेबसाइटों को तब तक लोड नहीं करता है जब तक कि आप ट्रैफ़िक कैप्चर करने के लिए फ़िडलर का उपयोग नहीं कर रहे हैं। जब यह उपयोग में नहीं होता है तो फ़िडलर को आपके सामान्य वेब ब्राउज़िंग में हस्तक्षेप करने के लिए डिज़ाइन नहीं किया जाता है।

स्वयं को छिपाने के लिए मैलवेयर के लिए, इसे फ़िडलर प्रॉक्सी को हाईजैक करना होगा और फ़िडलर प्रमाणपत्र की निजी कुंजी के साथ HTTPS ट्रैफ़िक को इस्तीफा देना होगा। प्रॉक्सी सेटिंग्स को बदलना तुच्छ है , और आपके फ़िडलर इंस्टॉलेशन की निजी कुंजी की एक प्रति प्राप्त करना संभव है ।

रूट प्रमाणपत्र

आपके पास फ़िडलर ने आपके कंप्यूटर पर एक रूट प्रमाणपत्र स्थापित किया था, जो इसे HTTPS पर भेजे जा रहे डेटा सामग्री की निगरानी के लिए खुद को एक मानव-मध्य (मिटम) के रूप में सम्मिलित करने की अनुमति देता है :

Https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?nnirectirect-1#comment1443606_1034394 से स्क्रीनशॉट

इसके विपरीत, यहां बताया गया है कि https://www.google.com/ आमतौर पर कैसे विश्वसनीय है:

Google HTTPS सुरक्षा श्रृंखला का स्क्रीनशॉट

आपका कंप्यूटर DO_NOT_TRUST_FiddlerRootप्रमाणपत्र पर भरोसा करता है क्योंकि यह आपके ऑपरेटिंग सिस्टम के प्रमाणपत्र ट्रस्ट स्टोर में स्थापित किया गया था।

अवरोधन HTTPS के लिए प्रॉक्सी

आपने संकेत दिया कि HTTPS मोज़िला फ़ायरफ़ॉक्स पर ठीक से व्यवहार करता है, जिसे ऑपरेटिंग सिस्टम के प्रॉक्सी नियमों के बजाय अपने स्वयं के स्वतंत्र प्रॉक्सी नियमों का उपयोग करने के लिए कॉन्फ़िगर किया जा सकता है। Google Chrome अन्यथा करने के लिए एक आसान विकल्प के बिना ऑपरेटिंग सिस्टम प्रॉक्सी का उपयोग करता है।

फ़िडलर के ऑपरेटिंग सिस्टम-स्तरीय प्रॉक्सी के माध्यम से जा रहे हैं, फ़िडलर अब साइट की सेवा करते समय अनएन्क्रिप्टेड HTTPS डेटा को कैप्चर करने के लिए मिटम हो सकता है। फ़िडलर कुछ वेब पेज प्राप्त करता है, फिर इसे "www.google.com" प्रमाणपत्र के रूप में हस्ताक्षरित करता है जो पहले विश्वसनीय था DO_NOT_TRUST_FiddlerRoot

इन परिस्थितियों में, मैलवेयर आपको गलत साइट खिलाने के लिए प्रॉक्सी और प्रमाणपत्र दोनों को ले सकता है, जबकि अभी भी आपको दिखा रहा है हरे रंग का लॉक आइकन। मैं इसके बारे में विस्तार से फ़िशिंग हमलों को देख सकता हूं।

सुरक्षा चिंतायें

सुरक्षा स्टाॅक एक्सचेंज पर संबंधित: उपयोगकर्ता डेस्कटॉप पर एसएसएल इंटरसेप्टिंग परदे के पीछे तैनात सॉफ्टवेयर विक्रेताओं द्वारा कौन से सुरक्षा जोखिम हैं।

जैसा कि एरिक लॉरेंस ने एक बार लिखा था ,

फ़िडलर की HTTPS इंटरसेप्शन क्षमताएं (दाएं) सुरक्षा-सचेत उपयोगकर्ताओं के बीच भौहें बढ़ाती हैं।

यही कारण है कि फ़िडलर ने HTTPS ट्रैफ़िक को रोकने के सुरक्षा निहितार्थ के बारे में चेतावनी दी है:

एक फ़िडलर का स्क्रीनशॉट अंतर्निहित चेतावनी

उपयोगकर्ता त्रुटि या मैलवेयर इंस्टॉलेशन द्वारा, फ़िडलर को विभिन्न समस्याओं से जोड़ा गया है:

हालांकि फिडलर खुद एक हानिकारक कार्यक्रम नहीं है, लेकिन इसके दुरुपयोग और गलतफहमी ने खराब प्रतिष्ठा और वायरस को हिडलर बनने का नाटक करने के लिए प्रेरित किया ।


निष्कासन

मुझे नहीं पता कि आपके कंप्यूटर को कुछ फ़िडलर अपहर्ता द्वारा समझौता किया गया है, लेकिन आपने संकेत दिया है कि आपके पास अपने कंप्यूटर को पोंछने और पुन: स्थापित करने का समय नहीं है, इसलिए उम्मीद है कि निम्नलिखित कदम फ़िडलर से छुटकारा पा सकते हैं और उचित सुरक्षित वेब व्यवहार को बहाल कर सकते हैं। (मैं तब भी अपने पासवर्ड को फिर से इंस्टॉल करने और बदलने की सिफारिश करूंगा, खासकर यदि आप सुरक्षा के बारे में गंभीर हैं। आपने लिखा है कि स्पाईबोट - खोज और नष्ट कुछ मैलवेयर पाए गए।)

प्राक्कथन: डी-कॉन्फ़िगर फ़िडलर

मूल पोस्टर ने फिडलर के साथ अपने मुद्दे को हल करने के लिए इन अतिरिक्त चरणों की खोज की :

अंततः यह क्या तय किया गया: सेटिंग्स -> उन्नत सेटिंग्स दिखाएं -> नेटवर्क के तहत -> प्रॉक्सी सेटिंग्स बदलें -> उन्नत -> रीसेट

तथा

फ़िडलर सेटिंग्स में भी मैंने विकल्पों को अक्षम कर दिया और प्रमाणपत्रों को अनइंस्टॉल और री-क्लियर करने से पहले HTTPS ट्रैफ़िक को डिक्रिप्ट करने की अनुमति दी।

फ़िडलर का मूल प्रमाणपत्र निकालें

  1. Win+ दबाएंr
  2. खुला हुआ: certmgr.msc
  3. सभी फ़ोल्डरों के माध्यम से देखें और DO_NOT_TRUST_FiddlerRootप्रमाणपत्र हटा दें ।

फ़िडलर को अनइंस्टॉल करें

  1. कंट्रोल पैनल »प्रोग्राम» प्रोग्राम और फीचर्स पर जाएं।
  2. फ़िडलर को अनइंस्टॉल करें। एक सूत्र का कहना है कि फ़िडलर को "फ़िडलररूट" या "ब्राउज़रसेफ़गार्ड" कहा जा सकता है।

स्पष्ट प्रॉक्सी सेटिंग्स

यह मानते हुए कि आप आमतौर पर एक अलग प्रॉक्सी का उपयोग नहीं करते हैं ...

  1. कंट्रोल पैनल पर जाएं »इंटरनेट विकल्प।
  2. इंटरनेट गुण में, "कनेक्शन" टैब पर जाएं।
  3. "लोकल एरिया नेटवर्क (LAN) सेटिंग्स" के तहत, "LAN सेटिंग्स" पर क्लिक करें।
  4. अपनी प्रॉक्सी सेटिंग को स्पष्ट और अनचेक करें जैसे: लोकल एरिया नेटवर्क (LAN) सेटिंग्स का स्क्रीनशॉट

मैलवेयर निकालें

जैसा कि पहले सुपर उपयोगकर्ता पर सुझाव दिया गया था , आपको संशोधित HTTPS वेबपेजों को प्रदर्शित करने वाले मूल मैलवेयर को खोजने और निकालने का प्रयास करना चाहिए।

विस्तृत सलाह:
मैं अपने पीसी से दुर्भावनापूर्ण स्पाइवेयर, मैलवेयर, एडवेयर, वायरस, ट्रोजन या रूटकिट कैसे निकाल सकता हूं?


विस्तृत राइटअप के लिए धन्यवाद। मैं खुद को यह मानने के लिए नहीं ला सकता कि फिडलर नापाक है क्योंकि मेरे सहकर्मी और मैं इसे सालों से लगभग रोज इस्तेमाल करते हैं। मुझे विश्वास हो सकता है कि कुछ और संभवतः फ़िडलररूट प्रमाण पत्र का लाभ उठा सकते हैं। मैंने हमेशा फिडलर को स्थापित किया है और हाल ही में एक उन्नयन नहीं किया है, यह समस्या पिछले कुछ दिनों में दिखाई दी। अगर फिडलर नापाक था तो मुझे नहीं लगता कि यह सर्टिफिकेट नाम में "DO_NOT_TRUST" होता। अंततः यह क्या तय किया गया: सेटिंग्स -> उन्नत सेटिंग्स दिखाएं -> नेटवर्क के तहत -> प्रॉक्सी सेटिंग्स बदलें -> उन्नत -> रीसेट
डेरेक ज़िम्बा

इसके अलावा Win7 में उपलब्ध होने के लिए certlm.msc दिखाई नहीं देता है। हालाँकि मैंने Certmgr.msc का उपयोग करके फ़िडलर के लिए सभी प्रमाणपत्र प्रविष्टियों को हटा दिया था। फ़िडलर सेटिंग्स में भी मैंने विकल्पों को अक्षम कर दिया और प्रमाणपत्रों को अनइंस्टॉल और री-क्लियर करने से पहले HTTPS ट्रैफ़िक को डिक्रिप्ट करने की अनुमति दी। यदि आप इन थोड़े अलग चरणों को शामिल करने के लिए अपनी पोस्ट को संपादित करते हैं तो मैं इसे उत्तर के रूप में चिह्नित करूंगा क्योंकि अंततः इसने समस्या को ठीक कर दिया।
डेरेक ज़िम्बा

@DerekZiemba: केवल विभिन्न शिकायतों पर जाकर मैंने फ़िडलर के बारे में पाया, मुझे नहीं पता था कि यह क्या था, लेकिन अब जब मैंने इसे देखा है, तो मुझे लगता है कि यह एक वैध उपकरण माना जाता है। मैंने अपने उत्तर को बदल दिया है ताकि इसे कम आरोप लगाया जा सके और आपके द्वारा पाए गए सही तथ्यों में भी डाला जा सके।
3

2
तुम बहुत Fiddler के बारे में उलझन में हो। फिडलर एक वेब डिबगिंग टूल है। इसका कोई दुर्भावनापूर्ण व्यवहार नहीं है, और यह तब तक स्थापित नहीं किया जाता है जब तक कि आप व्यक्तिगत रूप से इसे टेलरिक से डाउनलोड किए गए इंस्टॉलर का उपयोग करके स्थापित नहीं करते हैं। यहां वर्णित परिदृश्य मैलवेयर का एक टुकड़ा है जो खुद को फिडलर की तरह बनाकर पता लगाने से बचने का प्रयास कर रहा है।
EricLaw

नमस्कार @EricLaw मुझे आपकी आधिकारिक / आधिकारिक टिप्पणी करने के लिए सम्मानित किया गया है। यह मेरी गलती नहीं है कि आप बेख़बर हैं और फ़िडलर के खिलाफ अनुचित भार दे रहे हैं। मैंने आपके इनपुट को शामिल करने के लिए अपना उत्तर संपादित कर दिया है। असुविधा के बारे में मुझे खेद है। (आखिरकार, आप मेरे पास चलने के लिए और मेरे चेहरे पर मुक्का
मारने के लिए पर्याप्त हैं
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.