Подмена скрипта по пути к клиенту (возможно провайдером)

Question

[ONEGiN]

Здравствуйте, помогите найти где происходит подмена файла.

Предистория: Недавно приехал в один из провинциальных городов Украины (Луганская область) и с удивлением заметил что на всех моих сайтах появился рекламный блок (тизерный) на пол страницы. После долгого изучения логов сервера и сайтов на следы взлома выяснилось что сервер отдает чистый код.

Что удалось выяснить: Тизерки появляються на неопределённый срок в вечернее время суток, на всех сайтах (не только моих) где стоит Я.Метрика, а именно, подменяется файл mc.yandex.ru/metrika/watch.js его содержимое подменяется следующим pastebin.com/qujq6Ewz из беглого просмотра видно что подменяется реклама (если она есть на сайте) многих крупных тизерных бирж, а если рекламы небыло то она появляется.

Практически исключаю что это локальная подмена, по следующим аргументам: локальная ось ubuntu (проверял clamav); работает в firefox и chrome и chromium.
Еще инфо: Пинг mc.yandex.ru во время подмены позвращает правильный IP, проставление google dns не изменило ситуации (предполагал что подмена dns у провайдера), если дергать скрипт через wget то отдается оригинал (но быть может просто совпало), спрашивал поддержку есть ли у них прокси — сказали что нет.

Есть идеи как можно проверить где происходит подмена?

Comments

[ONEGiN]

Интернет через кабельное телевидиние+модем. Не знаю как этот тип называется, но вроде не ADSL.

[ONEGiN]

Пробовал из свежеустановленной Win7 тоже самое. Думаю локальную подмену можно практически исключить. Провайдер всячески игнорирует мои обращения, под предлогом почистить от вирусов и тд, говорят у них счетчики метрики работают нормально.

[ONEGiN]

после того как сбросил админам ссылку на этот QA, уже 2-й день все хорошо и нет никаких подмен и тизерок. Если и дальше ничего не будет, то хабр не плохо исцеляет сервера провайдеров.
Кстати, в подменяемом скрипте pastebin.com/qujq6Ewz отчетливо видно ID партнера тизерных крупных сетей, может стоит довести это все до логического конца, или оставить все исцелённым?

[ONEGiN]

Здесь что карма как заряд работает? Задал вполне вразумительный вопрос, получил несколько ответов и по несколько минусов за каждый ответ.

[Игорь]

Это такая особенность Хабра. Все с ней сталкиваются. Мне тоже доставалось. Но, что поделать

Answer 1

[Игорь]

Возможно, работает прозрачное проксирование (т.н. transparent proxy), которое на лету модифицирует трафик (прокси провайдера, который не хочет в этом признаваться).
Попробуйте воспользоваться одним из этих вариантов для выяснения так ли это.

Comments

[ONEGiN]

Скорей всего это тот самый случай.

Answer 2

[egorinsk]

Может, соседи по локалке заражены вирусом и что-нибудь подменяют, например притворяются DHCP сервером. Может, соседи по локалке подсвовывают себя в качестве прокси через автоопределение прокси.

А, еще может, у вас в браузере установлены какие-то расширения? Сейчас часто именно расширения используют для таких вещей.

А вообще интересный случай.

> Есть идеи как можно проверить где происходит подмена?

Я бы просмотрел трафик с помощью программы вроде Wireshark для начала.

Comments

[ONEGiN]

Может, соседи по локалке заражены вирусом и что-нибудь подменяют, например притворяются DHCP сервером

Могут? Я не знаком с принципом работы интернета по кабельному телевидинию.

Answer 3

[eresik]

Ставлю на ADSL-роутер.

Comments

[ONEGiN]

Помоему на роутере можно сделать максимум подмену DNS. Но как я писал, с гугловскими DNS та же ситуация. И здесь не роутер, а модем.

Answer 4

[Дмитрий Смирнов]

Вполне возможна подмена провайдером рекламных блоков. Если провайдер делает принудительное перенаправление веб трафика в свой прокси.
В squid такая возможность есть.
Выяснить можно с помощью наличии директивы ( если память не изменяет ): X_FORWARDED_FOR.
Да и IP будет не вашего NAT ( если конечно у них все не одной машине ), а IP прокси, при заходе на какой-нить speedtest.