"cepti dārzeņi Sveicināti Odo.lv vietnē!", jeb kā tiku galā ar odo.lv "ļauno dvīni"
Daiļliteratūrā klasiska tēma ir par ļauno dvīni, kurš ir līdzīgs stāsta varonim, bet, atšķirībā no oriģināla, ir ļauns, atriebīgs un visādi citādi slikts. Parasti stāsta beigās varonis savu ļauno dvīni pieveic vai padara par labu.
Arī vietnei odo.lv bija parādījies šāds dvīnis — vietne https://precinso.ga/, par kuru uzzināju, pārskatot servera Awstats apmeklējumu statistiku:
Apmeklējumu statistikas iegūšanai es izmantoju arī Piwik, kas apmeklējumu statistiku parāda skaistākos grafikos nekā Awstats. Tomēr Piwik trūkums ir tas, ka tam nepieciešams, lai pārlūkprogramma izpildītu Piwik HTML koda vai JavaScript instrukcijas, ko (tajā skaitā, atkarībā no lietotāja iestatījumiem) dara ne visi pārlūki. Awstat analizē Apache tīmekļa servera žurnālu, tāpēc parāda visus apmeklējumus, iekļaujot satura indeksēšanas robotus un pārlūkus, kuri nepilda JavaScript kodu.
Kad atvēru https://precinso.ga/ vietnes dažas lapas, ieraudzīju sekojošu ainu:
Vienlaicīgi pārlūkojot vietnes saturu ar Firefox inspektoru savā datorā un ar tail -f /var/log/apache2/access.log skatoties Apache žurnālu terminālī uz servera, sapratu, ka vietne strādā kā starpniekserveris, kurš pārtvertajam saturam ievieto nejaušas meklēšanas frāzes.
Interesanti, ka domēna precinso.ga IP adrese 104.28.26.114 liecina par CloudFlare serveru izmantošanu ASV, kuri lielās arī ar savu pakalpojumu "drošību". Tomēr pieprasījumi uz odo.lv tīmekļa serveri pienāca nevis no šī domēna IP adreses, bet gan no 195.154.50.178, kas, iespējams, ir uzlauzts vai nepieskatīts starpniekserveris Francijā. Pārliecinājos, ka AbuseIPDB adrese ir zināma jau sen un tās "kriminālā vēsture" ir gana gara:
Interesanti, ka DNS domēna reģistrā ir minēti e-pasti ļaunprātīgu darbību reģistrēšanai:
Domain name:
PRECINSO.GA
Organisation:
Gabon TLD B.V.
My GA administrator
P.O. Box 11774
1001 GT Amsterdam
Netherlands
Phone: +31 20 5315725
Fax: +31 20 5315721
E-mail: abuse: abuse@freenom.com, copyright infringement: copyright@freenom.com
Domain Nameservers:
LIV.NS.CLOUDFLARE.COM
SRI.NS.CLOUDFLARE.COM
...
Record maintained by: My GA Domain Registry
Es nosūtīju e-pastu gan uz abuse@freenom.com, gan copyright@freenom.com, bet nekādu atbildi nesaņēmu.
Kad sapratu, kā precinso.ga vietne strādā, vienkārši slēdzu pieeju no adreses 195.154.50.178 ar Ubuntu ugunssienu, kas ir lietotājam draudzīgāka iptables pārvaldības saskarne:
Kopš izveidoju šo likumu, IP paketes no 195.154.50.178 ir "nomestas" vairāk kā trīs tūkstošus reižu:
3300 198K DROP all -- * * 195.154.50.178 0.0.0.0/0
Sākumā brīnījos par ļaunprāšiem, kas ir gatavi maksāt naudu TLS sertifikātam un bezjēdzīgas vietnes uzturēšanai, bet noskaidroju, ka mazu serveri CloudFlare piedāvā bez maksas, ieskaitot arī TLS sertifikātu HTTPS protokolam:
Līdz ar to pieļauju, ka šī vietne pastāvēs, kamēr ļaunprāšiem izbeigsies bezmaksas pakalpojuma sniegšanas laiks, vai arī viņi pamanīs, ka saturu no odo.lv vietnes tie vairs nevar iegūt.
Gūtā mācība no šī ir šāda — ar statistikas vācējiem, kas izmanto HTML un/vai JavaSript koda izpildi, uzticamai tīmekļa servera pārraudzībai nepietiek. Un, ja es neizmantotu Linux serveri, kuram varu pārskatīt Apache žurnālu failus, es par šādu "ļauno dvīni" droši vien nemaz neuzzinātu.
Neatrisināts jautājums ir sekojošs — pārlūkojot precinso.ga vietni neatradu nevienu jaunu izejošo saiti uz kādu e-veikalu, ziņu portālu vai citu ārēju vietni. Tāpēc man nav skaidrs, kā ar tādu vietni var nopelnīt naudu vai nodrošināt kādu citu "nauda nesmird" biznesu. Varbūt kāds SEO guru var paskaidrot, vai tas ir tikai interneta vandālisms, vai tomēr kāds, man nesaprotams, bizness?
Created by Valdis Vītoliņš on 2018-02-04 16:43
Last modified by Valdis Vītoliņš on 2021-04-13 14:27