Pull to refresh

MITM-атаки от Дом.ру

Reading time 2 min
Views 22K

Бесплатная реклама у вас на сайте


Что может быть лучше рекламы на вашем сайте? Особенно той которую вы не размещали! Открыв вечером в браузере свой сайт я вдруг увидел гигантский баннер на пол экрана от ДомРу.


image


Пока я не понимал что происходит, реклама закрылась и все встало на свои места. Попытки перезагрузить страницу и увидеть это еще раз ни к чему не привели. Содержимое HTML-кода аномалий так же не выявило. Я думаю большинство пользователей просто бы не стали как либо реагировать на эту проблему, ведь в интернете и так полно контекстной рекламы которая внедряется в любые места. Но это был мой сайт и я не помню чтобы ДомРу предлагало мне разместить рекламу. Как такое происходит — под катом


Техподдержка на связи


Я решил задать резонный вопрос о вышеописанном факте в техподдержку. Сначала мне сказали что рекламы быть не должно, затем объяснили что это проблемы со стороны моего хостинга который внедряет рекламу. Но дело в том что у меня нет никакого хостинга (и уж тем более бесплатного), сайт расположен на моем VPS сервере и я там сам все устанавливаю и настраиваю. Обещания что скоро все будет хорошо и реклама исчезнет никак не воплощались в жизнь.


Как это работает


На следующий день реклама вновь появилась, но на этот раз я сохранил страницу для дальнейшего изучения. А происходит вот что — сразу после тега BODY бесцеремонно внедряется DIV c содержимым рекламы, а так же солидный STYLE блок. Всего размер "несанкционированного" содержимого около 40кб. Код не имеет внешних зависимостей и все необходимые изображения таскает за собой в base64.


image


После перезагрузки страницы (не сохраненной, а обычной) никаких рекламных скриптов уже нет. Экспериментально выяснилось что реклама показывается несколько раз в день.


Я думаю внимательный читатель уже наверняка из названия статьи и скриншотов понял что происходит. Я у себя на сайте не использую https (пока что) и само собой трафик проходит через провайдера в незашифрованном виде. Будучи промежуточным звеном в схеме клиент-сервер он модифицирует http-трафик и вставляет в него свою рекламу. Никак иначе, кроме как mitm-атакой я это назвать не могу.


Исследуя просторы интернета, я наткнулся еще на одну заметку связанную с подобной активностью — DOM.RU показывает свою рекламу заместо сайта. Можно сказать что за год их рекламная система "выросла" и научилась вместо тупого редиректа внедрять баннеры прямо в страницы.


Реакция провайдера


После нескольких заявок на то чтобы мне перезвонили и объяснили как и почему это происходит я наконец дождался звонка более-менее компетентного человека. Самое интересное что никакой проблемы там не видят. Какой MITM? Какой перехват трафика? Какая реклама? У вас же безлимитный тариф! А мы просто информируем пользователей о новых акциях.

Tags:
Hubs:
+47
Comments 115
Comments Comments 115

Articles