Вирус или нововведение в безопасности Вконтакте? / Хабр
Только что стал свидетелем очень странного поведения сайта Вконтакте.К сожалению, скрины сделать в тот момент не додумался.
С меня требовали номер мобилы.
Эдакий веб-гопник.
На всякий случай пишу конфиг системы:
Maс OS X 10.6.6, Firefox 3.6.13
Итак: при попытке открыть Вконтакте по обычному домену vkontakte.ru появилось facebox-окно (выводящееся через jQuery), с текстом:
спасибо за скрин dudeonthehorse
При этом на затемненном фоне открылась моя страница (т.е. авторизация прошла).
Захожу на домен vk.com — там все по-старому. Никаких окон.
Открыл исходник vkontakte.ru — там страница с фреймом, куда грузится vk.com, поверх которого открыто данное окно.
Довольно странно.
При этом, при попытке войти на любую страницу на домене vkontakte.ru ( а-ля /club123456… или /id123456…) открывается все то же окно, в котором фрейм опять грузит главную страницу vk.
Отрываю vkontakte.ru через сафари, ipad и телефон — везде одно и то же: сразу же происходит редирект на vk.com.
Таким образом, локализую проблему только на FF.
Исследуем проблему дальше.
Яндекс про это ничего не знает.
Гугл выдал по теме одну ссылку, где говорится, что это нововведение администрации, в чем я сильно сомневаюсь.
Пинугю:
vkontakte.ru — ведет на 194.28.112.71
vk.com ведет на 87.240.188.250
Пробиваем адреса через whois:
IP адрес: 194.28.112.71
Страна: Moldova, Republic of
Регион: Chisinau
Город: Rybnitsa
IP адрес: 87.240.188.250
Страна: Russian Federation
Регион: Санкт-Петербург
Город: Санкт-Петербург
Первый — явно очень странный. Что делает сервак Вконтакте в городе Рыбница республики Молдова?
Бегом в терминал. Файл /etc/hosts не изменен. Никаких новых записей.
Идем дальше.
Ввожу вместо номера 10 рандомных цифр.
Через firebug проследил куда он шлет информацию. Запрос ушел на страницу (говорю по памяти, точно не помню) что-то вроде vkontakte.ru/verifycation.php, в ответе котого была 403 ошибка за подписью апача. Открыл эту страницу в браузере — белый лист. Такой же как при попытке открыть 194.28.112.71 напрямую.
Но вернемся к окошку. Тем временем, информция в окне поменялась на следующую:
На Ваш номер отправлена SMS с паролем системы подтверждения.
ВНИМАНИЕ Пароль никому не сообщайте.
Он требуется для верификации номера телефона.
Введите пароль подтверждения: ___________
Ввел опять рандомный набор цифр и букв. Перекинуло на vk.com, все исчезло и теперь домен vkontakte.ru не открывается — сразу идет редирект на vk.com
Воспроизвести проблему вновь не удалось — чистил куки, менял ip, заходил через прокси — все исчезло как будто и не было.
Что мы имеем на данный момент:
Вместо сайта vkontakte.ru открывается молдавский IP, который требует ввести номер телефона и шлет (не проверял) на него смс с якобы паролем.
При этом не просит ничего отправить. Т.е. кроме номера телефона (или абракадабры в моем случае) профита никакого.
Если это вирус, то довольно странный. Что он делает? Собирает базу телефонов?
Если это нововведение администрации для безопасности, то почему так криво сделано и почему все это так легко обходится вводом простого рандома?
И почему работало только в FF?
В общем, многое пока не ясно, я иду спать, завтра со свежей головы буду копать дальше.
Если кто-то столкнется с подобной ситуацией, сделайте скрины, запишите точный адрес страницы, куда уходит запрос, я добавлю в пост.
Тему буду обновлять по мере поступления новой информации
UPD:
1. Сегодня с утра ping шел уже до нормального сервера vkontakte.ru.
2. Судя по комментам, проблему можно воспроизвести путем указания ip 194.28.112.71 для домена vkontakte.ru
У меня не получилось. Ping уходит на 194.28.112.71, но отображает нормальную страницу.
3. Зря я вчера поспешил приписывать проблему только FF, ведь остальные браузеры вместо нормального входа на vkontakte.ru осуществляли редирект на vk.com
проблема где-то глубже.
UPD2:
В тот же день я не смог войти в панель управления роутером. Логин-пароль не подходили.
Есть версия, что кто-то получил удаленный доступ к моему роутеру ASUS wl500gp и там подменил DNS.
Прошивка родная, пароль доступа к панели управления при настройке был изменен со стандартного на свой.
Возможно, что есть какой-то способ достучаться к роутеру извне и изменить его настройки.
Вопрос в том, массовая ли это проблема или так повезло единицам?
UPD3:
Общими усилиями пришли к выводу, что цель этого вируса — подписка жертвы на платную услугу путем отправки специального кода через смс, который необходимо ввести для активации этой подписки.
UPD4:
Пришло одтверждение непричастности администрации Вконтакте к данной проблеме.
Пользователь iFrontX прислал переписку с руководителем пресс-службы Вконтакте:
iFrontX | Il'ya Kruglov :
@tsyplukhin Как-нибудь можешь прокомментировать? habrahabr.ru/blogs/social_networks/112758
tsyplukhin | Vladislav Tsyplukhin :
@iFrontX один из разработчиков говорит: какой-то вирус, подменяющий обращения к DNS. Либо в ОС, либо в маршрутизаторе пользователя.
tsyplukhin | Vladislav Tsyplukhin :
@iFrontX рекомендуется проверить систему антивирусом (например Dr.Web CureIt). Если вирус не обнаружен, но у пользователя используется…
tsyplukhin | Vladislav Tsyplukhin :
@iFrontX … маршрутизатор для выхода в интернет, то рекомендуется проверить настройки DNS-серверов на нем.
iFrontX | Il’ya Kruglov :
@tsyplukhin Спасибо. Необходимо было окончательно отбросить версию, что это инициатива администрации.