От читателей был получен ряд жалоб на то, что время от времени происходит редирект на "Колесо фортуны" - какой-то китайский говносайт с ублюдочной рекламой (смотри скрин). Все в стиле 90-х реализовано, предельно дико и раздражающе - выглядит скорее, не как реклама, а как вирус.
Результаты расследования и принятые меры:
1. Жалобы не единичные, поступали в том числе от пользователей с улучшенным аккаунтом, где никакой рекламы быть не должно в принципе.
2. Проблема плавающая, возникает не постоянно, а изредка, отловить ее, чтобы выявить источник, мы у себя не смогли.
3. В содержимом самого АШ мы уверены на 100%, но у нас много внешних сервисов. Вряд ли они могли это поставить сознательно - очевидно, это чревато полным разрывом отношений.
4. Как версия - один из сайтов-партнеров заражен этим вирусом (или, например, сотрудник при увольнении кому-то из них нагадил, оставив привет).
5. Так как проблему не воспроизвели, это, вообще говоря, может быть любой из партнеров - от поиска по сайту Гугл до кнопок социальных сетей.
Принятые решения.
В 15-00 по МСК отрублен ряд внешних сервисов, оставлены наименее подозрительные (но тоже гарантий нет, источник может быть где угодно). Если поможет - будет возвращать отключенное по частям, если нет - будем отключать дальше.
Если после 15-00МСК кто-то снова это "Колесо" увидит - просьба оперативно сообщить, с указанием точного времени, так как именно по времени бы будем понимать, что было отключено, а что нет. Также сообщайте это был мобильный дизайн АфтерШок или полный (там немного разные блоки).
Обновление от 19-30: После 15-30МСК жалоб за 4 часа не зафиксировано из чего делаем вывод, что круг подозреваемых сузился, будем теперь их возвращать обратно (с паузами), чтобы выловить злодея точно.
П.С. Для опытных пользователей - есть еще такое предложение от камрада Gruzzy, которое поможет при выявлении источника проблемы:
Камрады! Помогите чем сможете!
Те, кто словил такой редирект и работает под виндой
Для FairFox нужно просто запустить
Для Chrome надо поколдовать
1. Найти папку с текущим профидем: открыть хром и ввести адрес chrome://version/
2. Найти "Profile Path" - будет что-то типа такого C:\Users\Skripal\AppData\Local\Google\Chrome\User Data\Profile 1
3. Закрыть Хром
4. Открыть софтину и натравить тул на правильную папку с кешем из пункта 2
Далее - отсортировать по столбцу "Server Response" и искать 301 или 302 ответы. Смотреть имена сайтов в найденных строках.
Выделить строки с подозрительными именами сайтов, щелкнуть правой мышкрй и сделать HTML-отчет в файл. Результаты - Алексу.
Комментарии
О рекламу отрубили, сразу стало свежо и карашо, спасибо кЕтайцам
Писать прошу по делу.
По симптомам явный жаба-скрипт.
Коньспирологическая гипотеза: может оказаться полезным не столько время возникновения ошибки, сколько посмотреть код страницы с… артефактом.
Все верно. Но она не воспроизводится у нас.
То есть сайт-партнер в 99.99% дает, что и должен давать, а в 0.01% дает каку.
Вот страница с такой же заразой, есть возможность сравнить. Меня даже из кэша гугла перекинуло.
http://webcache.googleusercontent.com/search?q=cache:Hafy9tbTaZwJ:allbox...
Старый MacPro. Firefox. Никаких колес не наблюдаю . Правда, стоит и работает Ublock.
Возможно, на Atari тоже редиректа не будет, однако проблему это не решает
Увы, Atari никогда не было. Commodore был А Мак всего лет 10 работает. Хотя по тем временам был крут - 8 ядер и 32 оперативки...
В 2008 году, на мак-про 32 гига ОЗУ…
Вы к нам прямо из Купертино? Или просто Оттуда (для тех кто понимает)? =)
Не сработала ваша зараза. Федора, фарфокс. Даже адблок отключил для верности. И на АШ ни разу не ловилось.
Поставил "Тул для Fairfox". "Колесо" было в 12:12 переход со страницы https://aftershock.news/?q=node/632702&page=2 через две минуты после её открытия.
В кэше нет ничего к тому моменту времени, кроме гифки с autocounter.lentainform.com:
Filename URL Content Type File Size Last Accessed Server Time Server Last Modified Expire Time Server Name Server Response Content Encoding Cache Name Cache Control ETag URL Length
id=383994&pid=49711&referer=&h2=YuEdjwJYVLSZB_uMevDS1kjKMoEE1d.gif https://autocounter.lentainform.com/autocreative/counter.php?id=383994&p... image/gif 43 02.04.2018 12:10:03 20.03.2018 17:55:16 23.06.2014 12:37:17 nginx/1.13.7 HTTP/1.1 200 OK data_1 [10240768] "53a7f54d-2b" 137
Ну ссылка вполне легитимная, сбор статистики, признаков переадресации не вижу.
Похоже, что только по горячим следам нужно смотреть.
Мне кажется, что переход делается с ссылок под комментариями, которые генерируются автоматически.
появилось 15-20
Браузер? Версия? Если ФФ - правый клик по любому элементу страницы ->"Исследовать элемент" -> Скопировать полностью -> Переслать мне. Я посмотрю
Вы используете актуальную версию Яндекс.Браузера.
Я.Браузер
© 2012—2018, ООО «ЯНДЕКС»
Появилось 15-25 МСК г. Энгельс
========================
А что будет если крутнуть??? :)
Только что 2 минуты назад было это невдалое "колесо" опять. Правда я не был залогинен, вот залогинился чтобы написать вам.
Спасибо, очень интересно, отрубил еще кое-кого.
П.С. На мобильном дизайне происходило или на полном?
На полном,
Версия 65.0.3325.181 (Официальная сборка), (64 бит)
последний раз было 11.37 по Москве
на haowujie.org
11.37? Ок, дайте знать если будет снова.
Может пригодится для информации:
У меня сие никогда не вылезало, но отключены для показа некоторые блоки - соцсети и т.д. (см. скрин ниже). Как вариант - проблема может быть в отключённых блоках (может поможет сузить поиск).
Щас мы все подряд режем и смотрим.
судя по описаниям - идет 301 редирект. то есть завален сайт из партнерских программ.
У нас такой же вывод. Осталось понять какой именно сайт.
надо кеш поковырять
вот тул под винду
Правильную папку с профилем искать так
открыть хром и ввести адрес chrome://version/
найти "Profile Path"
Нужно закрыть Хром и натравить тул на правильную папку с кешем.
Потом отсортировать по столбцу "Server Response" и искать 301 или 302 ответы. Смотреть имена сайтов в найденных строках
Щас пошукаю для фаирфоксаТул для Fairfox
Проблему мы воспроизвести у себя не смогли. Так что тут мало уметь самому искать, нужно людей научить. Лично я не берусь :-)
Камрады! Помогите чем сможете!
Те, кто словил такой редирект и работает под виндой
Тул для Fairfox
Тул для Google Chrom
Для FairFox нужно просто запустить
Для Chrome надо поколдовать
1. Найти папку с текущим профидем: открыть хром и ввести адрес chrome://version/
2. Найти "Profile Path" - будет что-то типа такого C:\Users\Skripal\AppData\Local\Google\Chrome\User Data\Profile 1
3. Закрыть Хром
4. Открыть софтину и натравить тул на правильную папку с кешем из пункта 2
Далее - отсортировать по столбцу "Server Response" и искать 301 или 302 ответы. Смотреть имена сайтов в найденных строках.
Выделить строки с подозрительными именами сайтов, щелкнуть правой мышкрй и сделать HTML-отчет в файл. Результаты - Алексу.
Ок. Добавлю к записи.
Выскакивало пару-тройку раз в Блогах. Последний раз сегодня утром.
С Пульса не было ни разу
было в 14:00 мск на пульсе.
Подломили сайт-партнёр скорее всего.
Ни разу это не появлялось. Хотя регулярно в течении дня захожу на АШ (в среднем 1 раз в час) почитать новое.
Оно явно в баннерах. У меня режется проксей - не видел ни разу.
А проблемы на каком браузере идут ? Может дело в яндекс-браузере ?
Нет, люди и с Хрома видели, и с FF.
И с Оперы тоже.
Да. На Опере, около 14:00 выхватил, но просто закрыл окно и подгрузил АШ заново.
Ни разу не было
PaleMoon 27.8.2 х64 (форк Firefox) - ни разу не ловился. Логин на полной версии. Без блокирующего обвеса (без дополнений, блокирующих рекламу).
И заодно интересно - если сюда напишу, то по закону подлости оно таки словится?
Предположение - смотреть еще и на регион/запросы. Возможно, ловится только по определенному региону или на определенные запросы (у меня слева, например, рекламный блок яндекс.директа по ключевому слову, которое недавно искал в гугле).
Из Владивостока подобной хери не видел. Винда 7/Убунта 16.04, блокировки отключены. Оба варианта, и десктоп, и мобила. Везде браузеры - хром/хромиум. Вру, в телефоне Опера. Но тоже только с включенной встроенной резалкой. Это для экономии трафика, я не анлим, когда мобильный.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
https://www.drupal.org/sa-core-2018-002 - если ещё не обновил, то обнови как можно скорее.
Не уверен, что движок сайта - друпал...))))
А я уверен :)
Вообще-то да... Есть такое... Элементы java - имеют понятные названия.)))))
Один раз перекидывало с АШ на какую-то херь, но не сегодня, а то ли вчера, то ли позавчера. Картинка стопудово со скрина. Больше не было. Планшет, Макстон браузер, Каспер Интернет Сикьрити для моб. устройств.
Браузер Мозилла.
Да было пару раз. Я грешил что зверек у меня сидит.
Что самое интересное не блокируется адблоком, вношу имя сайта в исключения ему пофиг. Сайт генерится каждый раз с новым именем, выскакивает очень редко, раз в месяц или реже.
Может и сидит, так как жалобы на Колесо массово пошли только позавчера.
Страницы