Подмена скрипта по пути к клиенту

от автора

Здравствуйте, помогите найти где происходит подмена файла.

Предистория: Недавно приехал в один из провинциальных городов Украины (Луганская область) и с удивлением заметил что на всех моих сайтах появился рекламный блок (тизерный) на пол страницы. После долгого изучения логов сервера и сайтов на следы взлома выяснилось что сервер отдает чистый код.

Что удалось выяснить: Тизерки появляються на неопределённый срок в вечернее время суток, на всех сайтах (не только моих) где стоит Я.Метрика, а именно, подменяется файл mc.yandex.ru/metrika/watch.js его содержимое подменяется следующим http://pastebin.com/qujq6Ewz из беглого просмотра видно что подменяется реклама (если она есть на сайте) многих крупных тизерных бирж, а если рекламы небыло то она появляется.

Практически исключаю что это локальная подмена, по следующим аргументам: локальная ось ubuntu (проверял clamav); работает в firefox и chrome и chromium.
Еще инфо: Пинг mc.yandex.ru во время подмены позвращает правильный IP, проставление google dns не изменило ситуации (предполагал что подмена dns у провайдера), если дергать скрипт через wget то отдается оригинал (но быть может просто совпало), спрашивал поддержку есть ли у них прокси — сказали что нет.

Есть идеи как можно проверить где происходит подмена?

ссылка на оригинал статьи http://habrahabr.ru/post/181087/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *