Грязный метод монетизации трафика или скрипт от odnaknopka.ru

odnaknopka.ru черные методы монетизации трафика
odnaknopka.ru черные методы монетизации трафика

Случайным образом где-то в 2010-2013 году я поставил себе скрипт от сайта однакнопка.ру . Этот сервис позволяет поделиться записью в соцсетях. Ставим java script код на страницу и получаем одну кнопку для всех сервисов закладок. Все отлично работало. Я забыл о нем…

Давайте разберемся, что делает данная кнопка. Она генерирует html код, который внедряется в вашу страницу. В хтмл коде содержатся картинки и правильно-сгенерированные ссылки на необходимые вам сервисы соцсетей. Нужные сервисы можно выбрать при регистрации на сайте.

Ниже показан пример отображения социальных кнопок на произвольном сайте.

Как я нашел посторонний вредоносный код на своем сайте

однакнопка черные методы заработка на чужом трафике
Однакнопка черные методы заработка на чужом трафике

Так я прожил до сентября 2015 года ни о чем не подозревая… В эту позднюю ночью я писал макрос для «iMacros for firefox». Почему-то не выходило через xPath добраться до класса для элемента div. Я решил потренироваться на своем сайте через firebug.

Открыл сайт. Запустил файрбаг, полез в html код искать произвольный класс, чтобы к нему прописать путь… И тут я увидел странный код на моем сайте. Это был iframe тег, ссылающийся на goo.gl сайт — сервис коротких ссылок.

однакнопка.ру черные методы заработка на чужом трафике
Однакнопка.ру черные методы заработка на чужом трафике

Черный метод монетизации сайта

Данный iframe ссылался на страничку с партнерскими ссылками: алиэкспресс, литрес, напару.ком, мвидео и другие… Так же данные отсылались в TDS. Расчет, видимо, был такой: ставить партнерские куки на наиболее посещаемых сайтах. С некой вероятностью посетитель появится на этом сайте и что-нибудь купить. Партнерские отчисления получит владелец этого кода.

Поиск уязвимости на своем сайте

Решил выяснить: взломали один сайт или несколько… Начал расследование. Второй сайт на этом же движке — тот же iframe код. Остальные сайты чистые. В процессе экспериментов выяснил, что код появляется не всегда. Только при первом заходе на сайт. Чистка cookie возвращает показ iframe кода на странице.

Что делал для поиска уязвимости:

  • Сменил пароль к ssh сайта
  • Сменил пароль к фтп сайта
  • Сменил пароль к хостингу
  • Сменил пароли к админке сайта
  • Проверил компьютер на вирусы
  • Просмотрел свежие изменения файлов на сервере
  • Искал подключения iframe и внешних сайтов в php, js и html скриптах
  • Выкачал текущий сайт и сравнил содержимое каждого файла с сайтом трехлетней давности

В итоге код никуда не исчезал, а ифреймовские ссылки менялись. Оставался один вариант методично просмотреть все подключаемые java script’ы на странице. Js файлы, находящиеся на моем хостинге не содержали никакого внешнего кода.

Тогда я открыл firebug — закладка «Сеть» и начал смотреть после каких скриптов появляется нехороший iframe. Оказалось, что после запроса на загрузку страницы выполняется всего 3 js скрипта. Первый от odnaknopka.ru , второй — luxup.ru и третий — acint.net . Далее шла загрузка iframe  с именем 3Zz9Rb.

odnaknopka черные методы зарботка на чужом трафике
odnaknopka черные методы зарботка на чужом трафике

Последовательно снизу вверх пошел по списку скриптов. Косячный скрипт оказался в однакнопка.ру. Скрипт ok2.js подгружает stat.js , в котором и находится код, отображающий iframe.

Прямое открытие файла stat.js не показывает код. Помогает только файрбаг с почищенными куками. Ниже привожу полный код файла stat.js. В нем сразу видно что как работает.

Код для монетизации сайта
Код для монетизации сайта

Решил написать статью в своем блоге и так же поделиться ей на хабре. Залез в поиск хабра посмотреть, что пишут про однакнопка.ру и увидел похожий пост на хабре от 6 июля 2013 года. Он гласил:

При обращении к odnaknopka.ru/ok2.js с User-Agent мобильного устройства, происходит автоматическое перенаправление посетителей на вредоносные цели.

В официальной группе сервиса Однакнопка первая информация о некорректной работе скрипта появилась 4 июля 2013 в 16:37. Проблема до сих пор не решена. Гневные (да, впрочем, и не гневные) сообщения от пострадавших пользователей игнорируются.

Заключение

Скрипт от однакнопка.ру убрал со всех своих сайтов. Очень хочется верить, что данный способ монетизации применил не автор скрипта, а какой-то злоумышленник. На момент написания статьи данный метод действует. Очень хочется верить, что владелец и автор данного скрипта пофиксит этот черный метод монетизации.

VN:F [1.9.22_1171]
Rating: 5.0/5 (2 votes cast)
Грязный метод монетизации трафика или скрипт от odnaknopka.ru, 5.0 out of 5 based on 2 ratings

Комментарий о “Грязный метод монетизации трафика или скрипт от odnaknopka.ru

  1. Пользуюсь сервисом Яндекса с кнопками «Share», таких проблем нет. Рекомендую!

    VA:F [1.9.22_1171]
    Rating: 0.0/5 (0 votes cast)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*