Rasśledavańnie: u skrypt ličylnika Akavita ŭbudavany škodnasny kod 

Stvaralnik Akavity viedaŭ pra najaŭnaść adware, ale ničoha nie rabiŭ. Usio pakazvaje na toje, što jon śpiecyjalna pastaviŭ hetuju ŭtyčku, kab zarablać na joj.

Pavialičyć

Adware nazyvajuć škodnasnaje prahramnaje zabieśpiačeńnie, hałoŭnaja meta jakoha — pakaz rekłamy.

Mnohija adware ažyćciaŭlajuć dziejańni, ułaścivyja špijonskim prahramam (spyware).

Napačatku — niekalki abzacaŭ z apisańniem taho, jak my vyjavili hety fakt. Kaho jany nie cikaviać, toj moža prosta ich prahartać i pierajści da abzacaŭ z analizam.

Adzin z vałancioraŭ, jakija dapamahajuć nam z absłuhoŭvańniem sajta «Našaj Nivy», u rucinnym paradku zirnuŭ pierformans hałoŭnaj staronki nn.by praz https://tools.pingdom.com/#!/oNsO4/nn.by. 

Na hetym sajcie možna vybrać, ź jakoha IP hety tools.pingdom.com pasyłaje zapyty na nn.by. Kali my vybirajem šviedski albo luby inšy, akramia Dallas, Texas, USA, to siarod http-zapytaŭ, jakija hety instrumient robić pry zahruzcy «Našaj Nivy», jość proćma zapytaŭ na kitajski sajt prodažu tavaraŭ Aliexpress, što viadzie da zahruzki niekalkich miehabajtaŭ karcinak dy resursaŭ.

Prostymi słovami: vy adkryvajecie «Našu Nivu», a sistema zaadno padhružaje vam rekłamnyja staronki z Aliexpress. Vy ich nie bačycie, ale trafik idzie.

Miž tym Aliexpress nie raźmiaščaje rekłamy na nn.by. Tamu my paličyli situacyju niezdarovaj i vyrašyli razabracca.

U samych pieršych zapytaŭ na Aliekspres referer — heta http://isoghy.com/?6zqtSp.

Nijakich rekłamnych damovaŭ u nas z isoghy.com niama.

Takim čynam, niechta raźmiaščaje aby-što na našaj staroncy ŭ abychod nas. A zaŭtra pačnie parnahrafiju raspaŭsiudžvać?

My stali šukać, dzie staić skrypt, jaki padsoŭvaje nam rekłamu Aliexpress. Akazałasia, jon ubudavany ŭ ličylnik Akavity. Kali my jaho adklučali, to i rekłama prapadała.

My pravieryli inšyja sajty. Navat sajt dziaržaŭnaha ahienctva BiełTA i sajt Kamiteta dziaržaŭnaha kantrolu majuć prablemu z Aliexpress — a značyć, i ŭbudavany praź ličylnik adware.

Adware siadzić u novaj viersii koda Akavity. Staruju viersiju koda na novuju stvaralnik internet-ličylnika Chviedar Karalenka paprasiŭ zamianić niekalki miesiacaŭ nazad.

Abhruntavaŭ jon heta tak: «Akavita narešcie pierachodzić na novy ruchavik, budzie bolš pravilna padličvać i źjavicca nie tolki novaja statystyka, ale j dadatkovyja funkcyi i mahčymaści dla ŭładalnikaŭ sajtaŭ. Ale NN maje vielmi stary kod, tamu prašu zamianić na novy, kab usio pracavała pa-sučasnamu i sajt zastaŭsia ŭ rejtynhu».

Kod, jaki raspaŭsiudžvaje rekłamu, my zmahli atrymać, kali zajšli na NN praz veb-proksi http://nn.by.se2.gsr.awhoer.net/.

Pavialičyć

Jak akazałasia, iframe maje šyryniu i vyšyniu ŭ 1 piksiel. Heta mikraskapičnaja kropka, jakuju niaŭzbrojenym vokam nie pabačyš. Vidać, toj, chto jaje dadavaŭ, padmanvaje i Aliekspres, bo jany jamu, peŭna ž, zaličvajuć pakazy ich rekłamy, choć nichto ŭbačyć rekłamu fizična nie moža.

My napisali stvaralniku Akavity Chviedaru Karalenku, što vyjavili ŭ ličylniku ŭbudavanuju rekłamu Aliekspresa, jakaja mocna padhružaje sajt.

«Na sierviery byŭ virus, užo papravili, ale, moža, dzie ŭ kešy zastałosia, zaraz paprašu admina hlanuć», — adkazaŭ jon nam. I sapraŭdy, praź niejki čas naš skrypt ličylnika pierastaŭ utrymlivać Iframe trajana.

Ale my nie spynilisia na hetym. Nas zacikavili jašče dva momanty.

Pa-pieršaje, što źviarnuła našu ŭvahu pry analizie, sajt Chartyi-97, choć i maje ličylnik Akavity, byŭ badaj adzinym, jaki nie mieŭ prablemy z Aliexpress.

Pa-druhoje, kali praź niekalki dzion my pravieryli inšyja sajty ź ličylnikami Akavity z adnaho i taho ž sierviera, to pabačyli, što va ŭsich ich — akramia NN.BY i ŭsio toj ža Chartyi-97— virusny kod zastaŭsia.

Kali b Akavita sapraŭdy vydaliła toj virusny kod, to ŭsie sajty stali b «čystymi». Adnak tolki NN, jakaja zabiła tryvohu, ciapier nie maje rekłamy Aliexpress. A astatnija čamuści i ciapier majuć rekłamu. Vielmi padobna da taho, što akavitaŭcy prosta zrabili vyklučeńnie dla NN.

U hetaj situacyi nas naściarožvaŭ i toj fakt, što paśla stolkich hadoŭ pracy staroj viersii ličylnika stvaralnik Akavity nadumaŭ abnavić jaho. 

My stali šukać, na kaho zarehistravany damien isoghy.com. To bok kamu naležyć servis, jaki adpraŭlaje zapyty na Aliekspres. U whois hetaja infa schavanaja. Rehistratar u ich — imena.ua, ale rehistratar nie raskryvaje piersanalnych dadzienych rehistrantaŭ, jakija pažadali zastacca ananimnymi.

Adnak my možam vyśvietlić IP-adras sajta isoghy.com — taho, jaki zahružaje rekłamu Aliexpress. Heta ip 176.9.8.189. Potym praz roznyja adkrytyja krynicy šukajem inšyja sajty z takim sama ip. Siarod inšych adšukvajecca uberalles.org.

Ciapier praviarajem, chto vałodaje damienam uberalles.org praź siervis whois: https://www.whois.com/whois/uberalles.org (siekcyja RAW WHOIS DATA).

I takim čynam, my bačym taho, na kaho zarehistravany sajt: Fiodar Karalenka, žychar horada Žodzina.

Pavialičyć

Heta, viadoma, moža być i supadzieńniem, ale majem jašče adno mahčymaje źviano ŭ łahičnym łancužku.

Zastałasia «zahadka «Chartyi».

«Ci kantaktavali vy z Akavitaj nakont rekłamy Aliekspres, jakaja praź ich ličylnik idzie? — zapytalisia my ŭ redaktarki Chartyi Natalli Radzinaj. — Čamu takoje pytańnie ŭźnikła? — pierapytałasia jana. — Bo pabačyli, što z našaha sajta praź ich idzie niejki trafik na Aliekspres, a z vašaha — nie. — Tak, my ich złavili na hetym», — paćvierdziła nam Radzina.

Takim čynam, Akavita adklučyła škodnasny kod tolki dla Chartyi paśla kantaktavańnia.

I adklučyła paśla kod dla NN — paśla našaha zvarotu.

Ale na ŭsich tysiačach sajtaŭ jon zastaŭsia, nie hrebujučy ni Ministerstvam finansaŭ, ni «Hancavickim časam».

Ci moža Akavita centralizavana vyčyścić adware ź ličylnika? Absalutna prosta. Siervier hladzić, na jaki adras zahružajecca javascript-kod ličylnika (adras staronki, jakaja inicyjavała zapyt, braŭzier pieradaje na siervier u zahałoŭku Referer). Jon praviaraje, ci heta adras z sajtu nn.by ci charter97.org, kali tak, to rekłamu nie pakazvaje.

Voś u čym niebiaśpieka: ludzi daviarajuć Akavicie i staviać jaje javascript-kod na svoj sajt. I kali na sajcie jość adminka, to praz hety javascript-kod hipatetyčna možna da jaje dastupicca. Praz hety ž kod možna raspaŭsiudžvać virusy, źbirać źviestki, jakija mohuć deananimizavać karystalnika. Takim paradkam, heta niebiaśpieka jak dla šarahovych karystalnikaŭ, tak i dla ŭładalnikaŭ resursu.

Skrypty, jakija robiać škodu karystalnikam, — heta i ŭdar pa reputacyi ŭładalnika sajta.

Jość trochi cyničnaści ŭ tym što kantent na isoghy.com — pra knihi i pa-biełarusku. Zdavałasia b, jakoje dobraje pačynańnie.

Ličylnik Akavita isnuje z 1999 hoda. Jaho stvaralnik nazvaŭ jaho słovam «akavita» — heta starabiełaruskaja nazva harełki abo śpirtu, ad łacinskaha vyrazu «akva vite», žyvaja vada.

Jak ličylnik, Akavita za čas svajho isnavańnia pastupova stračvała svaju funkcyjanalnaść, vidać, pa miery taho jak zhasaŭ impet stvaralnika. Pierastaŭ dziejničać zbor statystyki za miesiac i tydzień. Ź pierachodam na novy skrypt ličylnik pierastaŭ pakazvać i statystyku za ŭčora. Jana zastyła na adnym sakavickim dni. Ciapier mianiajecca tolki statystyka biahučaha dnia, u suviazi z čym bolšaść biełaruskich veb-analitykaŭ pačali karystacca inšymi ličylnikami.

Stvaralnik Akavity Chviedar Karalenka niekalki hadoŭ tamu pierajechaŭ va Ukrainu i ažaniŭsia z ukrainkaj.

NN.BY źniaŭ ličylnik Akavity.

My taksama čakajem ad Chviedara Karalenki tłumačeńnia, čamu i jak takoje adbyvajecca. 

P.S. Prykładna praz hadzinu paśla hetaj publikacyi škodnasny kod byŭ vyčyščany ź ličylnika.

• 0
• 0
• 0
• 0
• 0
• 0
• 0
• 0