Что предпринять если твой Wi-fi перехватывают?

Question

[shude]

Добрый день.
Проблема у меня возникла и не хватает навыков чтобы предпринять шаги по устранению.
Суть заключается в том, что при подключении к своему Wi-Fi роутеру, на любом ресурсе который открываю по http подгружается реклама. Своими силами выяснил следующее:
При запросе любого JavaScript файла по http, в ответ приходит подставной js файл в котором содержится скрипт внедрения рекламных блоков, а затем уже подключение оригинального js.

Схема работы такая: При любом запросе js файла, если присутствует заголовок Referer с оригинальным хостом, то приходит подсадной js, если Referer отсутсвует, то файл приходит оригинальный.

Я не думаю что это на уровне провайдера такая ерунда происходит, но в то же время я не понимаю как такое можно провернуть и как от этого избавиться. Роутер старенький - шифрование WPA2-Personal
Менял все пароли, скрывал SSID - ничего не помогает.
Внедряет только в http, https не может.

Подскажите, что поделать, что проверить, как заблочить может быть ? Я Web разработчик, dev стэк частенько на http висит, ну прям совсем не комфортно работать.

UPD: проблема проявляется только лишь при подключении к роутеру на всех устройствах (ноут, телефоны, планшеты) в других местах все нормально, если раздать инет с телефона тоже все нормально.
Это именно проявляется только при подключении к этому роутеру, поэтому факт присутствия вирусни отпадает. любой гость пришедший в дом и подключившийся к сети видит эту рекламу

Comments

[Сергей Горностаев]

Я не думаю что это на уровне провайдера такая ерунда происходит

Почему?

[planc]

билайн не брезговал пихать рекламу в http через свои роутеры

Answer 1

[xmoonlight]

Напрямую подключите кабель интернета к ПК и проверьте:
1. Будет реклама - проблема или в ноуте, или в провайдере.
2. Нет - значит в роутере (что тут подсоввывают mitm'ы - вероятность <1%).

Answer 2

[Рональд Макдональд]

Я Web разработчик, dev стэк частенько на http висит

И вам в голову не пришло, что дело не в WiFi?
Почистите браузер от лишних дополнений, просканируйте DrWeb CureIt, очевидно, что где-то в системе сидит зловред.

Comments

[shude]

Я же написал, что проблема проявляется только лишь при подключении к роутеру на всех устройствах (ноут, телефоны, планшеты) в дургих местах все нормально, если раздать инет с телефона тоже все нормально.
Это именно проявляется только при подключении к этому роутеру

[Рональд Макдональд]

shude, а я не читал.
Перепрошейте его, можно на ту же прошивку.

[Adamos]

Рональд Макдональд, ага, чтобы через полчаса его так же и перепрошил добрый китайский бот.
Даже на старые роутеры можно найти подходящие для них версии OpenWRT, которые так легко под ботов не ложатся.

[Рональд Макдональд]

Adamos, представим на секунду, что ТС не бездельник и у него нет времени на раскуривание мануалов по oWRT и его настройку. Перепрошить и поставить нормальный пароль быстрее.

[Adamos]

Рональд Макдональд, представим на другую секунду, что ТС - не идиот и не ставил тривиальный пароль на админку роутера. Значит, взломали его через дыру в прошивке (сервисный пароль от производителя, например). Возврат к той же прошивке вернет его к тому же взлому - только и всего.

[Рональд Макдональд]

Adamos,

ТС - не идиот и не ставил тривиальный пароль на админку роутера

99% просто забивают на это и оставляют дефолтный.

[Adamos]

Рональд Макдональд, да, технически неграмотных людей - большинство, но предполагать это в человеке, который все-таки вполне грамотно задал вопрос, как минимум невежливо. И раз он задал вопрос, то, очевидно, готов потратить какое-то время на решение проблемы. Зачем предлагать ему чреватый проблемами паллиатив, если есть нормальное решение?

[shude]

Системный журнал роутера:
Jan 1 03:00:16 dhcp client: deconfig: lease is lost
Jan 1 03:00:17 dhcp client: bound IP : 10.12.80.41 from 10.12.80.1
Jan 19 16:46:03 ntp client: time is synchronized to time.nist.gov pool.ntp.org
Jan 19 18:46:03 ntp client: time is synchronized to time.nist.gov pool.ntp.org
Jan 19 20:46:05 ntp client: time is synchronized to time.nist.gov pool.ntp.org

Всего лишь 5 записей, может ли это говорить о том, что действительно была какая-то махинация ? Ведь я в настройки роутера не лазил сто лет и тем более не сбрасывал логи журнала. Или может быть он в тупую показывает логи только текущего года ?

P.S. И кстати да, в данном случае ТС идиот и не парился по поводу изменения дефолтного пароля

[Рональд Макдональд]

shude,

Jan 19 20:46:05 ntp client: time is synchronized to time.nist.gov pool.ntp.org

Просто синхронизация времени.
Короче, прошивайте на новую (если нет новой прошивки, прошивайте на ту же), ставьте пароль, на oWRT забейте, если ваше время что-то стоит.

[shude]

Скачал оригинальную прошивку, пробую запустить процесс, web интерфейс перестает отвечать спасает только перезагрузка роутера, после этого можно опять работать в админке. Возможно ли что в подсадной прошивке умышленно был сломан функционал обновления прошивки ?

Сейчас попробую сброситься до заводских параметров и потом накатить прошивку

[shude]

Перепрошился - проблема осталась.
Выходит провайдер чтоли ... досадно то что нет ни одного устройства которое можно подключить напрямую к кабелю провайдера придется искать ...

[Константин Фролов]

shude, воспользуйтесь микротиком, настройте VPN до Европы, провайдер не будет видеть ваш трафик

Answer 3

[towin]

Скорее всего у вашего роутера был открыт доступ к web UI снаружи, и путем несложных действий враги зашили в роутер модифицированную прошивку.
Нужно перешить на стандартную прошивку и сразу же отключить Web UI, ssh, telnet на WAN.

Answer 4

[aa3mandius]

На роутере проверьте сетевые реквизиты.
Довольно часто бывает , что веб морда роутера смотрит наружу , а пароль admin/admin , соответственно делают банальную подмену dns , что в свою очередь и вызывает рекламный парад.

Comments

[shude]

проверял все настройки стоят "Получить автоматически", DNS прописаны 8.8.8.8 4.4.4.4

Answer 5

[rionnagel]

Свежий пк подключите в обход роутера. Тоже самое - бочки на провайдера катите.

ps. Вообще в моей практике некоторые провайдеры позволяли себе митмовать всякий трэш в http. Лечится скандалом!!! Если скандал не помог - сменой провайдера.... А если у вас ещё сотня точек с этим провайдером - то там и тоже.
Если прописан sla вы можете учитывать время перехода, как время недоступности. Для этого надо собрать метаданные.

Comments

[Karpion]

Перевожу на русский:
Возьмите компьютер со свежеустановленной системой (мой комментарий: можно заменить в компьютере диск и поставить систему туда). Подключите его напрямую к кабелю от провайдера.
Если проблема сохранится - то обращайтесь с претензией к провайдеру.

Answer 6

[Алексей Харченко]

Этим грешат некоторые провайдеры. Про проводные на скажу, но вот конкретно Мегафон этим занимается на 100%.
У меня на телефоне симка мегафона и симка МТС, плюс wifi (к роутеру который на ростелеком подключается). Мегафон: Если качать по http, а не по https - на часто посещаемых сайтах (только http!) вставляется блок рекламы, если его щёлкнуть случайно - можно нарваться на мобильную подписку (так если через мобильный браузер заходить), или получить испорченный файл (если что-то качалось по http с компа, кодключенного по usb к этому смартфону, т.е. смартфон в качестве модема). Настройки везде автоматически, на компе линукс, и после установки другого дистра ничего не изменилось. Доходит до того, что даже обновление системы нельзя выполнить - файлы закачиваются, и на одном обязательно будет сбой при установке. Стоит почистить кэш, подключиться к другому провайдеру - всё ок.
Т.е. при подключении к ростелеком, мтс - такого не происходит.
Бороться как? Да никак, видимо, нужно менять провайдера, и всё. Ещё можно через vpn организовать подключение, но не проверял, как это будет работать.

Answer 7

[Roman Vladimirovich F.]

Сергей, перелогиньтесь) - Как добавить информацию поверх web-страницы через точку доступа Wi-Fi?