Расследование: в скрипт счетчика Акавита встроен вредоносный код

Создатель Акавиты знал о наличии adware, но ничего не предпринимал.

Все указывает на то, что он намеренно встроил этот код с целью заработать на нем.

Adware называют вредоносное программное обеспечение, главная цель которого — показ рекламы.

Многие adware ведут себя, как шпионские программы (spyware).

Один из волонтеров, которые помогают с обслуживанием сайта «Нашей Нивы», между делом взглянул на представление главной страницы nn.by через https://tools.pingdom.com/#!/oNsO4/nn.by.

На этом сайте можно выбрать, с какого IP этот (tools.pingdom.com http://tools.pingdom.com/) посылает запросы на nn.by. Если мы выбираем шведский или любой другой, кроме Dallas, Texas, USA, то среди http-запросов, которые этот инструмент делает при загрузке «Нашей Нивы», есть уйма запросов на китайский сайт продажи товаров Aliexpress, что ведет к загрузке нескольких мегабайтов картинок и ресурсов.

Иными словами, вы открываете «Нашу Ниву», а система заодно подгружает вам рекламные страницы с Aliexpress. Вы их не видите, но трафик идет.

Между тем Aliexpress не размещает рекламы на nn.by. Поэтому редакция посчитала ситуацию нездоровой, и решили разобраться.

В самых первых запросах на Aliexpress referer — это http://isoghy.com/?6zqtSp.

Никаких рекламных договоров у газеты с isoghy.com нет.

Таким образом, кто-то размещает неизвестную информацию на странице в обход редакции. А завтра начнет порнографию распространять?

Журналисты стали искать, где стоит скрипт, который подсовывает рекламу Aliexpress. Оказалось, он встроен в счетчик Акавиты. Когда его отключали, то и реклама пропадала.

Была проведена проверка других сайтов. Даже сайт государственного агентства БелТА и сайт Комитета государственного контроля имеют проблему с Aliexpress — а значит, содержат и встроенный через счетчик adware.

Adware встроен в новой версии кода Акавиты. Старую версию кода на новую создатель интернет-счетчика Федор Короленко попросил заменить несколько месяцев тому назад.

Объяснял он это так: «Акавита наконец переходит на новый движок, будет правильнее вести подсчет, и появится не только новая статистика, но и дополнительные функции и возможности для владельцев сайтов. Но на сайте «НН» очень старый код, поэтому прошу заменить на новый, чтобы все работало современно и сайт остался в рейтинге».

Код, который распространяет рекламу, удалось выявить, зайдя на НН через веб-прокси http://nn.by.se2.gsr.awhoer.net.

Как оказалось, iframe имеет ширину и высоту в 1 пиксель. Это микроскопическая точка, которую невооруженным глазом не увидишь. Видимо, тот, кто ее добавлял, обманывает и Aliexpress, так как они ему, конечно же, зачисляют показы их рекламы, хотя никто увидеть рекламу физически не может.

Журналисты написали владельцу Акавиты Федору Короленко, что обнаружили в счетчике встроенную рекламу Aliexpress, которая сильно подгружает сайт.

«На сервере был вирус, уже починили, но может, где-то в кэше осталось, сейчас попрошу админа посмотреть», — ответил он. И действительно, через какое-то время скрипт счетчика перестал содержать Iframe трояна.

Но заинтересовали еще два момента.

Первое, что обратило внимание при анализе, сайт Charter97, хотя и содержит счетчик Акавиты, был, пожалуй, единственным, который не имел проблемы с Aliexpress.

Во-вторых, когда через несколько дней проверили другие сайты со счетчиками Акавиты с одного и того же сервера, то увидели, что у всех, кроме nn.by и все той же Хартии-97, вирусный код остался.

Если бы Акавита действительно удалила тот вирусный код, то все сайты стали бы «чистыми». Однако только НН, которая забила тревогу, не содержит «рекламы» Aliexpress. А остальные почему-то и поныне эту «рекламу» содержат. Очень похоже на то, что сотрудники Акавиты сделали исключение теперь и для «НН».

В этой ситуации настораживал и тот факт, что после стольких лет работы старой версии счетчика владелец Акавиты решил обновить его.

Cтали искать, на кого зарегистрирован домен isoghy.com. То есть кому принадлежит сервис, который отправляет запросы на Aliexpress. В whois эта информация скрыта. Регистратор у них — (imena.ua http://imena.ua/), но регистратор не раскрывает персональных данных регистрантов, пожелавшие остаться анонимными.

Однако можно выяснить IP-адрес сайта isoghy.com— того, который загружает рекламу Aliexpress. Это ip 176.9.8.189. Потом через различные открытые источники ищем другие сайты с таким же ip. Среди прочих отыскали uberalles.org.

Теперь проверяем, кто владеет доменом uberalles.org через сервис whois: https://www.whois.com/whois/uberalles.org (секция RAW WHOIS DATA).

И таким образом, видим того, на кого зарегистрирован сайт: Fiodar Karalenka, житель города Жодино.

Это, конечно, может быть совпадением, но появилось еще одно возможное звено в логической цепочке.

Осталась «загадка «Хартии»».

«Контактировали ли вы с Акавитой насчет рекламы Aliexpress, которая через их счетчик идет?» — спросили мы у редактора Charter97 Натальи Радиной. — «Почему такой вопрос возник?» — переспросила она. — «Потому что увидели, что с нашего сайта через них идет трафик на Aliexpress, а с вашего — нет». — «Да, мы их поймали на этом», — подтвердила Радина.

Таким образом, Акавита отключила вредоносный код только для Хартии после их обращения.

И отключила затем для «НН» — после обращения.

Но на тысячах сайтов он остался, включая сайты и Министерства финансов, и газеты «Ганцавіцкі час».

Может ли Акавита избирательно вычистить adware из счетчика? Абсолютно просто. Сервер смотрит, на какой адрес загружается javascript-код счетчика (адрес страницы, которая инициировала запрос, браузер передает на сервер в заголовке Referer). Он проверяет, если это адрес с сайта nn.by или charter97.org, то «рекламу» не показывает.

Вот в чем опасность: люди доверяют Акавите и устанавливают ее javascript-код на свой сайт. И если на сайте есть админка, то через этот javascript-код гипотетически можно до нее добраться. Через этот же код можно распространять вирусы, собирать сведения, которые могут деанонимизировать пользователя. Таким образом, это опасность как для пользователей, так и для владельцев ресурса.

Скрипты, которые наносят вред пользователям, — это и удар по репутации владельца сайта.

И еще. Довольно цинично придумано, что контент сайта isoghy.com — о книгах и по-белорусски. Казалось бы, какое хорошее начинание.

Счетчик Акавита существует с 1999 года. Его создатель назвал счетчик словом «Акавита» — это старобелорусское название водки или спирта, от латинского выражения «аква вите», живая вода.

Как счетчик, Акавита за время своего существования постепенно утрачивал функциональность, по-видимому, по мере того как угасал пыл его владельца. Перестал действовать сбор статистики за месяц и неделю. С переходом на новый скрипт счетчик перестал показывать и статистику за вчера. Она застыла на одном мартовском дне. Сейчас меняется только статистика текущего дня, в связи с чем большинство белорусских веб-аналитиков начали пользоваться другими счетчиками.

Создатель Акавиты Федор Короленко несколько лет назад переехал в Украину и женился на украинке.

«Наша Нiва» сняла счетчик Акавита со своего сайта и не станет устанавливать снова, пока не получит объяснений. Поэтому если читатель решит повторить шаги, описанные в статье, то может экспериментировать на других сайтах с новой версией счетчика Акавита. Например, belta.by.

Ждем от Федора Короленко объяснений, почему и как это происходит.

Примечание Charter97: Мы действительно сталкивались с подобной проблемой счетчика «Акавита». После обращения нашей технической службы к руководству сайта akavita.by несанкционированный показ рекламы был прекращен.