MITM-атаки от Дом.ру

Бесплатная реклама у вас на сайте

Что может быть лучше рекламы на вашем сайте? Особенно той которую вы не размещали! Открыв вечером в браузере свой сайт я вдруг увидел гигантский баннер на пол экрана от ДомРу.

image

Пока я не понимал что происходит реклама закрылась и все встало на свои места. Попытки перезагрузить страницу и увидеть это еще раз ни к чему не привели. Содержимое HTML-кода аномалий так же не выявило. Я думаю большинство пользователей просто бы не стали как либо реагировать на эту проблему, ведь в интернете и так полно контекстной рекламы которая внедряется в любые места. Но это был мой сайт и я не помню чтобы ДомРу предлагало мне разместить рекламу. Как такое происходит — под катом


Техподдержка на связи

Я решил задать резонный вопрос о вышеописанном факте в техподдержку. Сначала мне сказали что рекламы быть не должно, затем объяснили что это проблемы со стороны моего хостинга который внедряет рекламу. Но дело в том что у меня нет никакого хостинга (и уж тем более бесплатного), сайт расположен на моем VPS сервере и я там сам все устанавливаю и настраиваю. Обещания что скоро все будет хорошо и реклама исчезнет никак не воплощались в жизнь.


Как это работает

На следующий день реклама вновь появилась, но на этот раз я сохранил страницу для дальнейшего изучения. А происходит вот что — сразу после тега BODY бесцеремонно внедряется DIV c содержимым рекламы, а так же солидный STYLE блок. Всего размер «несанкционированного» содержимого около 40 кб. Код не имеет внешних зависимостей и все необходимые изображения таскает за собой в base64.

image

После перезагрузки страницы (не сохраненной, а обычной) никаких рекламных скриптов уже нет. Экспериментально выяснилось что реклама показывается несколько раз в день.

Я думаю внимательный читатель уже наверняка из названия статьи и скриншотов понял что происходит. Я у себя на сайте не использую https (пока что) и само собой трафик проходит через провайдера в незашифрованном виде. Будучи промежуточным звеном в схеме клиент-сервер он модифицирует http-трафик и вставляет в него свою рекламу. Никак иначе, кроме как mitm-атакой я это назвать не могу.

Исследую просторы интернета я наткнулся еще на одну заметку связанную с подобной активностью — DOM.RU показывает свою рекламу заместо сайта. Можно сказать что за год их рекламная система «выросла» и научилась вместо тупого редиректа внедрять баннеры прямо в страницы.


Реакция провайдера

После нескольких заявок на то чтобы мне перезвонили и объяснили как и почему это происходит я наконец дождался звонка более-менее компетентного человека. Самое интересное что никакой проблемы там не видят. Какой MITM? Какой перехват трафика? Какая реклама? У вас же безлимитный тариф! А мы просто информируем пользователей о новых акциях.

© Habrahabr.ru