LINUX.ORG.RU
ФорумTalks

Что случилось с htmlbook.ru?


0

1

Сабж. Его убили?

В тред кастуются мозилловладельцы, для подтверждения редиректа.

★★★

Последнее исправление: AlexCones (всего исправлений: 2)

1 2
Ответ на: комментарий от AlexCones

Виндузятникам помогает. Авось и тебе поможет.

Dragon59 ★★
()
Ответ на: комментарий от Dragon59

Придется видимо ставить еще один. Не люблю зоопарки.

AlexCones ★★★
() автор топика
Ответ на: комментарий от Turbid

Не знаю, но он не успевает загрузиться даже на долю секунды.

AlexCones ★★★
() автор топика
Ответ на: комментарий от AITap

Причём это не подмена DNS, а именно редирект:

[14:40:05][aitap@Tarkus ~]> curl -v htmlbook.ru
* About to connect() to htmlbook.ru port 80 (#0)
*   Trying 85.17.124.6... connected

GET / HTTP/1.1
User-Agent: curl/7.23.1 (i486-pc-linux-gnu) libcurl/7.23.1 OpenSSL/1.0.0e zlib/1.2.3.4 libidn/1.23 libssh2/1.2.8 librtmp/2.3
Host: htmlbook.ru
Accept: */*

* additional stuff not fine transfer.c:1036: 0 0 * HTTP 1.1 or later with persistent connection, pipelining supported < HTTP/1.1 302 Found < Date: Thu, 12 Jan 2012 10:40:23 GMT < Server: Apache/2.2.3 (CentOS) < Location: http://oper0me.com/?a=03d4t254z4y2x4t2w4v2t2t2y3s2x434x2x264x284035403e4 < Cache-Control: max-age=1209600 < Expires: Thu, 26 Jan 2012 10:40:23 GMT < Vary: Accept-Encoding < Content-Length: 332 < Connection: close < Content-Type: text/html; charset=iso-8859-1 < <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The document has moved <a href="http://oper0me.com/?a=03d4t254z4y2x4t2w4v2t2t2y3s2x434x2x264x284035403e4&quot... <hr> <address>Apache/2.2.3 (CentOS) Server at htmlbook.ru Port 80</address> </body></html> * Closing connection #0 [14:40:24][aitap@Tarkus ~]> nslookup htmlbook.ru Server: 192.168.1.1 Address: 192.168.1.1#53

Non-authoritative answer: Name: htmlbook.ru Address: 85.17.124.6 [14:41:27][aitap@Tarkus ~]> nslookup oper0me.com Server: 192.168.1.1 Address: 192.168.1.1#53

Non-authoritative answer: Name: oper0me.com Address: 178.63.41.159

AITap ★★★★★
()

УМВР. Толстолис последний доступный из дефолтных убунтушных реп, а так же под шиндошс. Подозреваю hosts hijacking в шиндошс или поломаный dns.

Frakhtan-teh ★★
()
Ответ на: комментарий от AITap 
[13:44:53][alex][~]: curl -v htmlbook.ru
* About to connect() to htmlbook.ru port 80 (#0)
*   Trying 85.17.124.6... connected
> GET / HTTP/1.1
> User-Agent: curl/7.23.1 (i486-pc-linux-gnu) libcurl/7.23.1 OpenSSL/1.0.0e zlib/1.2.3.4 libidn/1.23 libssh2/1.2.8 librtmp/2.3
> Host: htmlbook.ru
> Accept: */*
> 
* additional stuff not fine transfer.c:1036: 0 0
* HTTP 1.1 or later with persistent connection, pipelining supported
< HTTP/1.1 302 Found
< Date: Thu, 12 Jan 2012 10:44:52 GMT
< Server: Apache/2.2.3 (CentOS)
< Location: http://oper0me.com/?a=03d4t254z4y2x4t2w4v2t2t2y3s2x434x2x264x284035403e4
< Cache-Control: max-age=1209600
< Expires: Thu, 26 Jan 2012 10:44:52 GMT
< Vary: Accept-Encoding
< Content-Length: 332
< Connection: close
< Content-Type: text/html; charset=iso-8859-1
< 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://oper0me.com/?a=03d4t254z4y2x4t2w4v2t2t2y3s2x434x2x264x284035403e4">here</a>.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at htmlbook.ru Port 80</address>
</body></html>
* Closing connection #0
AlexCones ★★★
() автор топика
Ответ на: комментарий от AITap

Хым. Значит там какой-то избирательный редирект. хтакцес попортили наверное через дыру какую-нить. Видел сотни раз такое. Если не по юзерагенту, то по рефереру должно редиректить, например при переходе из поисковика. Хотя вчера из поисковика тоже все нормально было...

Frakhtan-teh ★★
()
Ответ на: комментарий от AlexCones

$ GET htmlbook.ru | head -20
<!DOCTYPE html>
<html>
<head>
<meta http-equiv=«Content-Type» content=«text/html; charset=utf-8» />
<title>htmlbook.ru - Для тех, кто делает сайты</title>
<link rel=«search» type=«application/opensearchdescription+xml» title=«htmlbook.ru» href=«/sites/search/search.xml»>
<link rel=«alternate» type=«application/rss+xml» title=«Материалы с htmlbook.ru» href="http://feeds.feedburner.com/htmlbook">
<link type=«text/css» rel=«stylesheet» media=«all» href=«/sites/default/files/css/css_e5a998393a4d941571bd8a89d58159dc.css» />
<!--[if lte IE 7]><link href=«/themes/hb/ie7.css» rel=«stylesheet» type=«text/css» /><![endif]-->
<!--[if lt IE 9]><script src=«/themes/hb/scripts/ie.js»></script><![endif]-->
<script type=«text/javascript» src=«/sites/default/files/js/js_51e29e0e6efd420810c06116f9e2e17b.jsmin.js»></script>
<script type=«text/javascript»>
<!--//--><![CDATA[//><!--
jQuery.extend(Drupal.settings, { «basePath»: «/» });
//--><!]]>
</script>
</head>
<body>

Frakhtan-teh ★★
()
Ответ на: комментарий от AlexCones

Links - ред. FX - норм. Опера - норм. elinks - ред. lynx - норм.

nickionn ★☆
()
Ответ на: комментарий от AlexCones 
$ curl -v htmlbook.ru | head -10
* About to connect() to htmlbook.ru port 80 (#0)
*   Trying 85.17.124.6...   % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0connected
* Connected to htmlbook.ru (85.17.124.6) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.21.3 (amd64-portbld-freebsd7.3) libcurl/7.21.3 OpenSSL/0.9.8e zlib/1.2.3 libidn/1.22
> Host: htmlbook.ru
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Thu, 12 Jan 2012 10:49:14 GMT
< Server: Apache/2.2.3 (CentOS)
< Last-Modified: Thu, 12 Jan 2012 10:32:31 GMT
< ETag: "bc1a-4b65243fbedc0"
< Accept-Ranges: bytes
< Content-Length: 48154
< Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< Expires: Sun, 19 Nov 1978 05:00:00 GMT
< Vary: Accept-Encoding
< Connection: close
< Content-Type: text/html; charset=utf-8
<
{ [data not shown]
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>htmlbook.ru - Для тех, кто делает сайты</title>
<link rel="search" type="application/opensearchdescription+xml" title="htmlbook.ru" href="/sites/search/search.xml">
<link rel="alternate" type="application/rss+xml" title="Материалы с htmlbook.ru" href="http://feeds.feedburner.com/htmlbook">
<link type="text/css" rel="stylesheet" media="all" href="/sites/default/files/css/css_e5a998393a4d941571bd8a89d58159dc.css" />
<!--[if lte IE 7]><link href="/themes/hb/ie7.css" rel="stylesheet" type="text/css" /><![endif]-->
<!--[if lt IE 9]><script src="/themes/hb/scripts/ie.js"></script><![endif]-->
Frakhtan-teh ★★
()
Ответ на: комментарий от AlexCones 
$ host -tA htmlbook.ru
htmlbook.ru has address 85.17.124.6

$ whois htmlbook.ru | grep nserver
nserver:       ns1.r01.ru.
nserver:       ns2.r01.ru.

$ host -tA htmlbook.ru. ns1.r01.ru.
Using domain server:
Name: ns1.r01.ru.
Address: 89.111.160.32#53
Aliases:

htmlbook.ru has address 85.17.124.6

Спрашивает с того же сервера. Не наю по каким критериям они могут на левый сайт перенаправлять. По диапазонам айпишников штоле?

Frakhtan-teh ★★
()
Ответ на: комментарий от Frakhtan-teh

IP не меняется со сменой браузера.

AlexCones ★★★
() автор топика
Ответ на: комментарий от AITap

Значит, перенаправляет избирательно, в зависимости от User-Agent'а.

Где-то с месяц назад приходило сообщение на почту «Поставьте наш скрипт на сайт, и мы заплатим вам столько-то». В скрипте содержалась как раз вот такая штука. Она проверяет юзерагент, и, если это мобильный браузер, предлагает обновить/установить новую оперу мини, предварительно отправив пару платных СМС :) Мне, естественно, в голову не пришло ставить левые скрипты на свой сайтик. А кому-то, видимо, пришло.

Sadler ★★★
()
Ответ на: комментарий от Sadler

если это мобильный браузер

Видимо парсер в этом скрипте писал индус, поскольку он распознает links и lynx с некоторыми фоксами как мобильный.

AlexCones ★★★
() автор топика
Ответ на: комментарий от AlexCones

Видимо парсер в этом скрипте писал индус, поскольку он распознает links и lynx с некоторыми фоксами как мобильный.

Нормальная ситуация, вредоносы вообще уже давно не торт.

Sadler ★★★
()

УМВР

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.75 Safari/535.7

Pentium02 ★★
()
Ответ на: комментарий от AlexCones

Дело не в мобильности видимо, воспроизвел с хидером мозилки:

[code]
$ HEAD -E -H 'User-Agent: Mozilla/4.0 (compatible)' http://htmlbook.ru
HEAD http://htmlbook.ru
User-Agent: Mozilla/4.0 (compatible)

302 Found
Cache-Control: max-age=1209600
Connection: close
Date: Thu, 12 Jan 2012 10:58:42 GMT
Location: http://oper0me.com/?a=03d4t254z4y2x4t2w4v2t2t2y3s2x434x2x264x284035403e4
Server: Apache/2.2.3 (CentOS)
Vary: Accept-Encoding
Content-Type: text/html; charset=iso-8859-1
Expires: Thu, 26 Jan 2012 10:58:42 GMT
Client-Date: Thu, 12 Jan 2012 10:58:42 GMT
Client-Peer: 85.17.124.6:80
Client-Response-Num: 1

HEAD http://oper0me.com/?a=03d4t254z4y2x4t2w4v2t2t2y3s2x434x2x264x284035403e4
User-Agent: Mozilla/4.0 (compatible)

200 OK
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection: close
Date: Thu, 12 Jan 2012 10:58:43 GMT
Pragma: no-cache
Server: nginx/1.0.9
Vary: Accept-Encoding
Content-Type: text/html; charset=utf-8
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Client-Date: Thu, 12 Jan 2012 10:58:43 GMT
Client-Peer: 178.63.41.159:80
Client-Response-Num: 1
Set-Cookie: PHPSESSID=16ef3e93c4183b94b6a5ea95ec7c28bb; path=/
Set-Cookie: lvisit=8944-15; expires=Fri, 13-Jan-2012 10:58:43 GMT
X-Powered-By: PHP/5.2.6-1+lenny9
[/code]

Отправь это владельцу сайта.

Frakhtan-teh ★★
()
Ответ на: комментарий от Sadler

Все-таки в 99% случаев это угон пароля от FTP трояном или запись в .htaccess либо модификация индексного файла через дыру в скрипте.

Frakhtan-teh ★★
()
Ответ на: комментарий от AlexCones

Да, curl-ом редиректит. Браузерами нет. А вот opera-mini тоже редиректит на сайт с фейком.

JustGuest
()
Ответ на: комментарий от sin_a

Один и тот же код могут распространять несколькими различными способами - как взломом, так и разводками по почте и чатикам. Почему нет? :)

Frakhtan-teh ★★
()

гы
это популярный в последнее время слив людей с мобильным юзер агентом с последующей монетизацией

xtraeft ★★☆☆
()
Ответ на: комментарий от Frakhtan-teh

curl -v у меня на freebsd нормально отрабатывает кстати :) без редиректа

Своих не трогают.

Sadler ★★★
()
Ответ на: комментарий от xtraeft

сливают через правила mod_rewrite в .htaccess 

RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !ipad [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !iPad [NC]
RewriteCond %{HTTP_USER_AGENT} !iPhone [NC]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://google.ru

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Talks