О том, как немного заработать на чужих доменах
Ожидает приглашения
Всем привет. Хочу поделиться историей, которая произошла недавно в нашей деревне.Холодным осенним утром сайт клиента начал вести себя неподобающим образом: время от времени редиректил на файловые помойки, выбрасывал рекламные объявления в pop-up. Ну все ясно, взломали. Будем смотреть.
Искать пришлось недолго, в теле страницы обнаружился спамящий iframe, а в шаблоне страницы следующий скрипт:
<script type="text/javascript">
document.write(
'<script type="text/javascript" language="JavaScript"'
+ 'src="//sedoparking.com/frmpark/'
+ window.location.host + '/'
+ 'sedoexpired5'
+ '/park.js">'
+ '<\/script>'
);
</script>
Как выяснилось, эта часть шаблона генерировалась автоматически — на другом сайте того же клиента производилась обработка некоторых данных, результат выкладывался на http, первый сайт скачивал его и без проверок вставлял в шаблон. Не повторяйте этого дома!
Итак, зловреда нам подсунул сайт Б. Видимо, взломали его? Но что это? У домена Б сегодня ночью закончилась проплата…
$ whois sait-b.ru
% By submitting a query to RIPNs Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: SAIT-B.RU
nserver: expirepages-kiae-1.nic.ru.
nserver: expirepages-kiae-2.nic.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: RU-CENTER-RU
admin-contact: https://www.nic.ru/whois
created: 2008.02.24
paid-till: 2014.10.02
free-date: 2014.11.02
source: TCI
Только что на этом месте
$ ping asdfasdf.sait-b.ru
PING asdfasdf.sait-b.ru (109.70.26.37) 56(84) bytes of data.
^C
--- asdfasdf.sait-b.ru ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2014ms
Итак, RU-CENTER прописал сайту свои DNS и все запросы перекидывает на какой-то адрес.
$ whois 109.70.26.37
% This is the RIPE Database query service.
% The objects are in RPSL format.
% Information related to '109.70.24.0 - 109.70.27.255'
% Abuse contact for '109.70.24.0 - 109.70.27.255' is 'abuse@nic.ru'
inetnum: 109.70.24.0 - 109.70.27.255
netname: RU-SERVICE-NETWORK
descr: RU-SERVICE Ltd ISP
country: RU
admin-c: EGK9-RIPE
tech-c: RN331-RIPE
status: ASSIGNED PA
mnt-by: RUNIC-MNT
source: RIPE # Filtered
role: RU-NIC NOC
address: JSC "RU-CENTER"
На любой http запрос по этому адресу приходит ответ:
Полный текст страницы с редиректом
<html>
<head>
<meta charset="utf-8">
<style type="text/css">
html, body, #partner, iframe {
height:100%;
width:100%;
margin:0;
padding:0;
border:0;
outline:0;
font-size:100%;
vertical-align:baseline;
background:transparent;
}
body {
overflow:hidden;
}
</style>
<meta content="NOW" name="expires">
<meta content="index, follow, all" name="GOOGLEBOT">
<meta content="index, follow, all" name="robots">
<!-- Following Meta-Tag fixes scaling-issues on mobile devices -->
<meta content="width=device-width; initial-scale=1.0; maximum-scale=1.0; user-scalable=0;" name="viewport">
</head>
<body>
<div id="partner"></div>
<script type="text/javascript">
document.write(
'<script type="text/javascript" language="JavaScript"'
+ 'src="//sedoparking.com/frmpark/'
+ window.location.host + '/'
+ 'sedoexpired5'
+ '/park.js">'
+ '<\/script>'
);
</script>
</body>
</html>
Легким движением руки RU-CENTER перекинул все запросы на себя и начал сливать трафик на sedoparking.com. Эти последние прекрасно написали о себе на aboutus.org:
Make money with Domain Parking
Have you ever thought that you could make money from unused virtual domains that are not even your property? SedoParking.com makes it possible for you to make some profit out of undeveloped web space.
Интересно, чей аккаунт sedoexpired5 — вряд ли корпоративный руцентра?
Берегите свои домены и проплачивайте их вовремя.