Otrzymałem kilkanaście dni temu do mojej zacnej skrzynki pocztowej wiadomość, która przebrnęła przez filtry antyspamowe i co najciekawsze była pisana w języku wschodnich sąsiadów czytaj po rosyjsku (nie rusku). Jako osoba ciekawska i poszukująca nowych i interesujących wyzwań i nie tylko produktów – postanowiłem odwiedzić reklamowaną stronę hxxp://real-inform.su – mimo, że nie zrozumiałem z reklamy ani znaczka. SU – jakby ktoś nie wiedział to domena Związku Socjalistycznych Republik Radzieckich.
Zostałem miło przekierowany na inną stronę:
curl -s -I hxxp://real-inform.su | grep Location
Location: hxxp://ruznam.com/?wmid=8&sid=11
Z nowej witryny zostałem przekierowany znów w inną mańkę:
curl -s -I hxxp://ruznam.com/?wmid=8&sid=11
Location: hxxp://wwwhttpinfo.ru/ups/count.php?o=2
I tu pojawił się problem…
W pierwszym odruchu założyłem, że brakuje „.” kropki po www i odwiedziłem www.httpinfo.ru, która to strona po rosyjsku wciska kilka odnośników reklamowych i częściowo odnosi się do dużego operatora domen internetowych w Rosji – mastername.ru. Troche zdziwił mnie fakt wykorzystywania takiej reklamy jaką jest kombinowany SPAM, przez dużego operatora ale w końcu to wschodni sąsiedzi i wszystko jest możliwe :]
Strona wwwhttpinfo.ru nie przesyłała żadnych danych i skłoniłem się do tego, że to jednak literówka, która miała reklamować serwis z domenami. Dopiero po dłuższej chwili uświadomiłem sobie, że jeśli domena wwwhttpinfo.ru jest zarejestrowana to o czymś to świadczy. Po głębszej analizie okazało się, że ustawiając odpowiedni User-Agent mogę raz (blokada per adres IP) odwiedzić witrynę hxxp://wwwhttpinfo.ru/ups/count.php?o=2, która to wyświetlała kod przekierowujący dalej:
<script>if(typeof success!=”undefined” && success==1){location.replace(„hxxp://wwwhttpinfo.ru/ups/count.php?o=1″);}if(typeof success==”undefined” || success==0){location.replace(„hxxp://wwwhttpinfo.ru/ups/count.php?o=1”);}</script>
Po odwiedzeniu hxxp://wwwhttpinfo.ru/ups/count.php?o=1 otrzymywałem (także jednorazowo) link do:
<script>if(typeof success!=”undefined” && success==1){location.replace(„hxxp://mydom3.ru”);}if(typeof success==”undefined” || success==0){location.replace(„hxxp://mydom3.ru”);}</script>
gdzie przekierowywano mnie za pomocą kodu 302 serwera WWW do lovedom3.ru już właściwej strony porno zachęcającej do wykupienia SMSem dostępu do filmów, kamer itp.
Co ciekawe strona wwwhttpinfo.ru ma wysoki ranking na alexa.com (1 017 383) czyli skuteczność tego typu reklamy musi być jednak wysoka. Po przyjrzeniu się bliżej wykresom dla końcowej domeny czyli lovedom3.ru (Alexa: 470 368) doszedłem do wniosku, że jak będę uruchamiał internetowy biznes to na pewno skorzystam z tego typu usługi reklamującej :]
PS: Po dłuższej przerwie spróbowałem znów i widzę, że aktualnie mogę z tego samego adresu IP odwiedzić wielokrotnie przekierowującą stronę oraz główna strona reklamująca się czasami nie wczytuje się, gdyż serwer WWW przestaje odpowiadać. Zapewne w wyniku dużej popularności :]