Предистория: Недавно приехал в один из провинциальных городов Украины (Луганская область) и с удивлением заметил что на всех моих сайтах появился рекламный блок (тизерный) на пол страницы. После долгого изучения логов сервера и сайтов на следы взлома выяснилось что сервер отдает чистый код.
Что удалось выяснить: Тизерки появляються на неопределённый срок в вечернее время суток, на всех сайтах (не только моих) где стоит Я.Метрика, а именно, подменяется файл mc.yandex.ru/metrika/watch.js его содержимое подменяется следующим http://pastebin.com/qujq6Ewz из беглого просмотра видно что подменяется реклама (если она есть на сайте) многих крупных тизерных бирж, а если рекламы небыло то она появляется.
Практически исключаю что это локальная подмена, по следующим аргументам: локальная ось ubuntu (проверял clamav); работает в firefox и chrome и chromium.
Еще инфо: Пинг mc.yandex.ru во время подмены позвращает правильный IP, проставление google dns не изменило ситуации (предполагал что подмена dns у провайдера), если дергать скрипт через wget то отдается оригинал (но быть может просто совпало), спрашивал поддержку есть ли у них прокси — сказали что нет.
Есть идеи как можно проверить где происходит подмена?
ссылка на оригинал статьи http://habrahabr.ru/post/181087/
Добавить комментарий