что такое r 2ad wtf
Провайдер подменяет скрипты сайта для показа рекламы
Занимаясь разработкой нового сайта, заметил, что в js-консоли время от времени появляются странные ошибки, намекающие на ошибки при загрузке рекламных баннеров. Конечно, это заставило задуматься и я полез искать какой из подключенных плагинов нагло вставляет рекламу на сайт.
Как оказалось, баннеры на сайт пытался вставить. скрипт аналитики Битрикса (http://bitrix.info/ba.js). По данному URL возвращался статус 307 (Временный редирект) и перенаправляло на URL http://r.2ad.wtf/?orig=http%3A%2F%2Fbitrix.info%2Fba.js&id=*****®=*****, который загружал рекламу на страницу, а также подключал уже настоящий скрипт аналитики. Такая же подмена происходила и в других браузерах (провайдер Ростелеком), и на телефоне (Ростелеком и Теле2).
Первой возможной причиной, которая пришла в голову, стал взлом сервера или наглость некоторых сотрудников Битрикса и я открыл тикет в поддержке Битрикса. Но при дальнейшем наблюдении заметил, что при использовании мобильного оператора (Tele2) происходила подмена на скрипт, который подключал другой рекламный скрипт с URL http://p.tlrtb.com/ad/base.js?*****. А также было замечено, что всё это происходило только при использовании HTTP, при защищенном соединении подмены или редиректов не происходило. Стало ясно, что наглеет провайдер, немного погуглив, наткнулся на подобные проблемы у пользователей пикабу и хабра и оказалось, что такое происходит из-за подключенной по умолчанию «услуги» провайдеров для дополнительной монетизации трафика. Подменяются скрипты по разным популярным URL, например, подключение jQuery с CDN.
После обращения в Ростелеком без всяких проблем эту «услугу» отключили через 18 дней с момента обращения:
Знайте, уже давно настали те времена, когда HTTPS нужен не только для некоторых сайтов или страниц с вводом данных карт или паролей, а для каждого сайта, потому что даже провайдеры для дополнительного заработка грешат MITM. Простые сертификаты стоят не так дорого, а благодаря Let’s Encrypt даже бесплатно. Если вы не хотите, чтобы на ваших сайтах поверх контента появлялась реклама телевидения от Ростелекома, позаботьтесь о защите трафика.
Хитрый вирус, проверьте свои сайты
Пишу в вопросы, т.к. не хватает рейтинга.
Уже писал насчёт этого вируса.
Как проверить. Открываете исходный код страницы сайта в браузере. Ищите там вызов любого файла js, желательно первую ссылку в коде для чистоты эксперимента. Открываете его, и обновляете страницу несколько раз с паузами. Можно в разное время попробовать. В какой-то момент содержимое скрипта подменится на такое:
Комментарии: 20
Чтобы внедрить такое на сайт не обязательно быть знакомым с системой на 100%. Встречаются вариации, когда просто где-то в index.php/config.inc.php зашивают серверную часть, которая рандомно себя проявляет + параллельно проверяя USER_AGENTS или даже IP посетителя на предмет вхождения в подсеть сотовых операторов.
Так же никто не исключает возможность взлома вашего сервера через Exim или какие-то другие службы с устаревшим софтом, а не через CMS. При этом нельзя исключать вариант того, что был получен root доступ к серверу, где размещен ваш сайт (довольно часто это бывает, когда сайт обновляют, а про серверное ПО забывают)
В общем давно бы уже заказали аудит у профессионалов, раз сами не можете справиться с проблемой.
зашивают серверную часть, которая рандомно себя проявляет + параллельно проверяя USER_AGENTS или даже IP посетителя на предмет вхождения в подсеть сотовых операторов.
То то я сейчас написал парсер js фалов с разных сайтов, чтобы мониторить ситуацию, а он ничего не выдаёт, скорее всего потому, что парсер на сервере работает, оттуда запросы идут, а я то сижу на 4G. Т.е. описанный мной способ скорее всего не работает для тех у кого проводной интернет, или Wifi. Т.е. всё ещё хитрее, чем я думал. Большинство очень долго не заметит ничего…
Так же никто не исключает возможность взлома вашего сервера через Exim или какие-то другие службы с устаревшим софтом, а не через CMS.
Так в том то и дело, что сайты разных владельцев на разных серверах, и даже иностранный хостинг один есть.
В общем давно бы уже заказали аудит у профессионалов, раз сами не можете справиться с проблемой.
А объяснить клиентам необходимость этого будет сложно. Либо скупердяи, либо могут подумать, что их пытаются развести на деньги, либо за сайты отвечают менеджеры какие-нибудь, которым нафиг не надо ничего, работает вроде и ладно. Да и вообще, инициатива часто наказуема))
А объяснить клиентам необходимость этого будет сложно
Если ваши клиенты вам платят за поддержку, то это ваша головная боль. Если клиенты в свободном плаванье, то рекомендация обновиться и подчиститься по причине массовых взломов воспринимается как забота о клиенте и ответственный подход к работе.
Да и вообще, инициатива часто наказуема))
Если вы сидите на ЗП, то с таким подходом вы легко заменяемый винтик в бизнес-процессе вашего клиента. Но именно такие кадры чаще всего стонут, что их не ценят и мало платят. Но если вы работаете во фрилансе/веб-студии/и т.п., то общение с клиентами нужно поддерживать не только во время сдачи-приемки ТЗ.
Вот кейс из моей практики. Когда на хабре была опубликована первая статья с предупреждением, что Google Chrome будет помечать http сайты как не безопасные, я всем своим клиентам (даже те, которые не находятся в поддержке) скинул ссылку на этот поиск. Мол подумайте над тем, чтобы совершить переход на https. Вы не поверите, но в течении всей следующей недели эта задача стала приоритетной у всех клиентов. Кто-то меня попросил заняться этим вопросом, кто-то привлек своих программистов, а кто-то даже заказал выпуск платных сертификатов.
А знаете почему? Потому, что клиент должен заниматься развитием своего бизнеса, а не вниканием в технические нюансы обслуживания сайтов и слежением за тенденциями в вебе. Когда клиент начинает вас учить делать сайты или считает, что вы его разводите на бабки, то тут 2 варианта:
— Либо вы не достаточно компетентны, чтобы адекватно аргументировать необходимость того или иного действия
— Либо с бизнесом у клиента не все в порядке
Без обид, но в вашем случае я склонен думать, что причина не в компетентности. Банально, у вас стоит ISPManager, где можно без лишних усилий подключить Let’s Encrypt. Но до сих пор это не сделано. Чего уж там говорить про обновление и вирусы.
Как найти источник загрузки сторонней рекламы в браузерах?
Столкнулся с проблемой, отображается стороняя реклама на некоторых сайтах в моём браузере (браузерах).
Изначально подумал что это вирус, проверил полностью ПК утилитами от DrWeb Cureit, Kaspersky, malwarebytes.com/adwcleaner/.
Первый ничего не нашёл, второй ничего не нашёл тоже, третий нашёл файлы DriverPackSolution я их удалил все.
Переустановил Chrome (т.к. думал что проблема изначально в нём).
Очистил все кэши и руками и ccleaner’ом.
И всё равно появляется эта стороняя реклама, выглядит она как баннер (см.скрин).
Проблема появилась с ровного места, 2 дня назад, до этого ничего не было. Никакой сторонний софт не ставил, по непонятным сайтам тоже не лазил ничего не качал. Кроме меня ПК никто не пользуется.
Также проблему удалось обнаружить с помощью смартфона подключенного к тому же интернету через роутер. Т.е. на телефоне тоже иногда появлялся баннер.
Если меняю провайдера, отключаю свой домашний интернет и подключаю с Телефона, проблема уходит и всё работает корректно.
Провайдер всеми правдами и неправдами утверждает что это не его рук дела, и он здесь особо не причём. Приходили техники, меняли прошивку на роутере, всё сбрасывали в заводские установки. Результат прежний, баннеры так и появляются.
Причём приходили со своим ПК подключались к моему интернету и у них на тех же сайтах нет, этого баннера а у меня есть, но у них на ПК стоит куча Адблоков и Антивирусного ПО.
Баннер встраивается в html когд страницы, чаще всего в самом начале.
Как можно найти источник откуда это всё дело подтягивается?
r.analytic.press
Плагин для браузера/скрипт/блокировка: «Ростелеком, вставка рекламы»
◦ Аффилированные домены/IP [10]: p.analytic.press, d.analytic.press, d.d1tracker.ru, dmd.digitaltarget.ru, dmg.digitaltarget.ru, rtkrtb.com, p.2ad.wtf, r.2ad.wtf, d.2ad.wtf, matching.2ad.wtf
p.analytic.press и r.analytic.press
Content Security Policy блокирует загрузку скриптов с доменов p.analytic.press и r.analytic.press в директиве script-src. С поддомена d.analytic.press загружаются картинки, см принтскрин в заметке Как победить analytic.press?, там же светится домен analytic.press.
не доступно для уровня доступа.
Подмена скриптов jQuery и карт Google
Ростелеком внедряет свой скрипт показа рекламы на все страницы, загружаемые по схеме http:, или просто подменяет распространённые скрипты, в основном на мобильных устройствах.
Request URL: http://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js
Request method: GET
Status code: 307
HTTP/1.1 307 Temporary Redirect
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Connection: keep-alive
Content-Type: text/plain
Location: http://r.analytic.press/?id=85c27bce8183639953238dd557c6854a102f®=24&orig=http%3A%2F%2Fajax.googleapis.com%2Fajax%2Flibs%2Fjquery%2F1.10.2%2Fjquery.min.js
не доступно для уровня доступа.
rtkrtb.com
Аналогичная ситуация возникала с доменом r.rtkrtb.com/ p.rtkrtb.com, см r.rtkrtb.com/p.rtkrtb.com подменяет jQuery.
С Url p.rtkrtb.com/rtrtb-iframe.html?id=WCumUGxFunwD0smKetDIog== на страницы вставляется ифрейм.
analytic.host, d1tracker.ru и dmd.digitaltarget.ru
Домен analytic.host был в 2018-1019 годах у того же регистратора, есть на принтскрине в Как победить analytic.press? вместе с analytic.press:
Updated Date: 2020-01-15T15:06:52.0Z
Creation Date: 2019-12-23T12:56:49.0Z
Согласно Ростелеком ввёл в строй систему подстановки своих рекламных баннеров в незашифрованный HTTP-трафик абонентов, подставляемые в транзитный трафик JavaScript-блоки включали обфусцированный (специальным образом зашифрованный, дабы затруднить его анализ) код и обращения к недавно зарегистрированным сомнительным доменам ( p.analytic.press, d.d1tracker.ru и dmd.digitaltarget.ru), вначале возникло подозрение на компрометацию оборудования провайдера и внедрение вредоносного ПО во внутридомовой маршрутизатор, но после отправки претензии представители Ростелекома указали на то, что подстановка рекламы осуществляется в рамках действующего с 10 февраля 2020 года сервиса показа баннерной рекламы абонентам.
2ad.wtf
В феврале 2021 появились блокировки http://r.2ad.wtf в script-src / script-src-elem. Домен 2ad.wtf дата создания: 2020-11-06, whois скрыт.
Также в директиве img-src блокируются Url вида:
Что нужно знать о p2p-платежах и их будущем в России
Популярность p2p растет
p2p-платежи (от англ. Peer-to-Peer — от человека человеку) — самый простой способ отправки денег от одного физического лица другому. Такие транзакции можно использовать для чего угодно: оплатить аренду, разделить счет в ресторане между друзьями и т.п. Эти платежи позволяют переводить деньги с помощью мобильных банковских приложений между двумя сторонами с использованием их дебетовых, кредитных карт или индивидуальных банковских счетов.
Развитие p2p-платежей происходит из-за повсеместного перехода на безналичный расчет. Поэтому расчетами с карты на карту начали активно пользоваться представители микро- и малого бизнеса. Даже на рынке, где у продавца нет терминала, чтобы принять оплату с помощью банковской карты, у покупателя теперь есть возможность перевести деньги напрямую на карту продавца или владельца бизнеса. В этом случае p2p-переводы используют как псевдоэквайринг.
Но в сфере услуг p2p-платежи играют действительно важную роль и для бизнеса. На них стоит обратить внимание владельцам ресторанов, салонов красоты, барбершопов, сервисов по доставке еды.
Эти транзакции можно использовать для сбора чаевых, за счет чего сотрудники: а) получают больше денег; б) станут более лояльными.
Аналитики отмечают, что бизнес в целом продолжает уходить от наличных расчетов. Например, по данным Сбербанка и «Платформы ОФД», в 2019 году доля безналичной оплаты в ресторанах достигла 69%.