"cepti dārzeņi Sveicināti Odo.lv vietnē!", jeb kā tiku galā ar odo.lv "ļauno dvīni"

febr. 04 2018

Daiļliteratūrā klasiska tēma ir par ļauno dvīni, kurš ir līdzīgs stāsta varonim, bet, atšķirībā no oriģināla, ir ļauns, atriebīgs un visādi citādi slikts. Parasti stāsta beigās varonis savu ļauno dvīni pieveic vai padara par labu.

Arī vietnei odo.lv bija parādījies šāds dvīnis — vietne https://precinso.ga/, par kuru uzzināju, pārskatot servera Awstats apmeklējumu statistiku:

/xwiki/bin/download/Blog/180204/Att01.png

Apmeklējumu statistikas iegūšanai es izmantoju arī Piwik, kas apmeklējumu statistiku parāda skaistākos grafikos nekā Awstats. Tomēr Piwik trūkums ir tas, ka tam nepieciešams, lai pārlūkprogramma izpildītu Piwik HTML koda vai JavaScript instrukcijas, ko (tajā skaitā, atkarībā no lietotāja iestatījumiem) dara ne visi pārlūki. Awstat analizē Apache tīmekļa servera žurnālu, tāpēc parāda visus apmeklējumus, iekļaujot satura indeksēšanas robotus un pārlūkus, kuri nepilda JavaScript kodu.

Kad atvēru https://precinso.ga/ vietnes dažas lapas, ieraudzīju sekojošu ainu:

Vienlaicīgi pārlūkojot vietnes saturu ar Firefox inspektoru savā datorā un ar tail -f /var/log/apache2/access.log skatoties Apache žurnālu terminālī uz servera, sapratu, ka vietne strādā kā starpniekserveris, kurš pārtvertajam saturam ievieto nejaušas meklēšanas frāzes.

Interesanti, ka domēna precinso.ga IP adrese 104.28.26.114 liecina par CloudFlare serveru izmantošanu ASV, kuri lielās arī ar savu pakalpojumu "drošību". Tomēr pieprasījumi uz odo.lv tīmekļa serveri pienāca nevis no šī domēna IP adreses, bet gan no 195.154.50.178, kas, iespējams, ir uzlauzts vai nepieskatīts starpniekserveris Francijā. Pārliecinājos, ka AbuseIPDB adrese ir zināma jau sen un tās "kriminālā vēsture" ir gana gara:

/xwiki/bin/download/Blog/180204/Att07.png

Interesanti, ka DNS domēna reģistrā ir minēti e-pasti ļaunprātīgu darbību reģistrēšanai:

$ whois precinso.ga

   Domain name:
      PRECINSO.GA

   Organisation:
      Gabon TLD B.V.
      My GA administrator
      P.O. Box 11774
      1001 GT  Amsterdam
      Netherlands
      Phone: +31 20 5315725
      Fax: +31 20 5315721
      E-mail: abuse: abuse@freenom.com, copyright infringement: copyright@freenom.com

   Domain Nameservers:
      LIV.NS.CLOUDFLARE.COM
      SRI.NS.CLOUDFLARE.COM
...
   Record maintained by: My GA Domain Registry

Es nosūtīju e-pastu gan uz abuse@freenom.com, gan copyright@freenom.com, bet nekādu atbildi nesaņēmu.

Kad sapratu, kā precinso.ga vietne strādā, vienkārši slēdzu pieeju no adreses 195.154.50.178 ar Ubuntu ugunssienu, kas ir lietotājam draudzīgāka iptables pārvaldības saskarne:

ufw insert 1 deny from 195.154.50.178

Kopš izveidoju šo likumu, IP paketes no 195.154.50.178 ir "nomestas" vairāk kā trīs tūkstošus reižu:

#iptables -L -nv|grep 195.154.50.178
3300  198K DROP       all  --  *      *       195.154.50.178       0.0.0.0/0

Sākumā brīnījos par ļaunprāšiem, kas ir gatavi maksāt naudu TLS sertifikātam un bezjēdzīgas vietnes uzturēšanai, bet noskaidroju, ka mazu serveri CloudFlare piedāvā bez maksas, ieskaitot arī TLS sertifikātu HTTPS protokolam:

/xwiki/bin/download/Blog/180204/Att08.png

Līdz ar to pieļauju, ka šī vietne pastāvēs, kamēr ļaunprāšiem izbeigsies bezmaksas pakalpojuma sniegšanas laiks, vai arī viņi pamanīs, ka saturu no odo.lv vietnes tie vairs nevar iegūt.

Gūtā mācība no šī ir šāda — ar statistikas vācējiem, kas izmanto HTML un/vai JavaSript koda izpildi, uzticamai tīmekļa servera pārraudzībai nepietiek. Un, ja es neizmantotu Linux serveri, kuram varu pārskatīt Apache žurnālu failus, es par šādu "ļauno dvīni" droši vien nemaz neuzzinātu.

Neatrisināts jautājums ir sekojošs — pārlūkojot precinso.ga vietni neatradu nevienu jaunu izejošo saiti uz kādu e-veikalu, ziņu portālu vai citu ārēju vietni. Tāpēc man nav skaidrs, kā ar tādu vietni var nopelnīt naudu vai nodrošināt kādu citu "nauda nesmird" biznesu. Varbūt kāds SEO guru var paskaidrot, vai tas ir tikai interneta vandālisms, vai tomēr kāds, man nesaprotams, bizness?

Izveidojis Valdis Vītoliņš 2018-02-04 18:43
Pēdējais mainījis Valdis Vītoliņš 2018-02-05 11:35
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License