Ростелеком подменяет js-файлы?

Snake800
На сайте с 02.02.2011
Offline
166
33691

Заметил, что на одном из сайтов яваскрипт работает не так, как ожидается. Стал копать и обнаружил, что при запросе файла js/jQuery.js, вместо положенного 200 OK, сервер отдает примерно такой заголовок:

307 Temporary Redirect

Location: http://r.rtkrtb.com/?orig=http://www.site.ru/js/jQuery.js&id=a289d908648475944aaaea762c14170acb85

В консоли браузера:

id=a289d908648475944aaaea762c14170acb85

Редирект вызывается не всегда, иногда с первого раза, иногда после нескольких F5. Вкратце, скрипт дописывает вызов исходного файла, вызывает ещё один скрипт с адреса p.rtkrtb.com/ad/base.js?id=a289d908648475944aaaea762c14170acb85, который судя по коду пытается подгружать рекламу с dmg.digitaltarget.ru и ставить трэк на d.d1tracker.ru.

Мой сайт - лэндинг на чистом html, всего одна страница и несколько java-скриптов, т.е. вирус на сайте скорее всего исключен. Но на всякий случай сайт ещё раз прошерстил. Удалил все плагины браузера, пробовал в разных браузерах, в т.ч. абсолютно чистых - проблема есть. Подумал на хостинг. Загуглил rtkrtb.com, нашелся только нерешенный вопрос на https://toster.ru/q/565094 с аналогичной проблемой от 23 сентября. Итак, что имеем и что было проверено:

  • Подмена происходит только при подключении через Ростелеком.
  • При подключении через VPN или другого провайдера (не Ростелеком) подмены не происходит.
  • Проблема возникает на разных сайтах и хостингах.
  • Возникает рандомно.
  • Попробовал с другого компьютера и абсолютно другого модема Ростелеком - проблема переадресации на rtkrtb.com есть.
  • Не зависит от браузера (Chrome, Firefox). Браузеры и ПК скорее всего, чисты.
  • Подменяется адрес одного из js-файлов в секции head: например, jquery.js, main.js, easy-responsive-tabs.js и т.п.
  • Подмена работает только на сайтах по протоколу http не HTTPS.

Проверил также все настройки и версии прошивки роутера - ничего подозрительного не увидел. DNS от Google. Судя по всему, что-то из middleware анализирует html-контент ответа сервера и подменяет код заголовка ответа на запросы отдельных файлов. До конца не могу понять, где проблема - в маршрутизаторе, в хостингах или на узлах РТ.

Ребят, у кого Ростелеком - проверьте, пожалуйста, что вам возвращают не https-сайты. Отличительным признаком можно заметить лог в консоли браузера id=некий_id или на вкладке отладчика "Сеть" в TimeLine 307-ю переадресацию на r.rtkrtb.com. Важно, чтобы в html-коде сайта подключались какие-то скрипты. Понимаю, что http уже редкость, но такой сниффинг трафика просто так не хотелось бы игнорировать.

Горите в аду.
L
На сайте с 16.03.2012
Offline
292
lkm
#1

Не прошло и пяти лет, человек выяснил, что провайдеры подсовывают рекламу в незащищенный трафик.

Уже 100 раз обсуждали и Дом.Ру, и всех мобильных операторов, особенно Теле2 и Мегафон этим отличались.

Snake800
На сайте с 02.02.2011
Offline
166
#2

lkm, меня интересует конкретно данный случай, а на то, что было 5 лет назад.

S
На сайте с 30.09.2016
Offline
459
#3
Snake800:
нашелся только нерешенный вопрос на https://toster.ru/q/565094 с аналогичной проблемой от 23 сентября.

Там написано, что проблема исчезла после смены хостинга.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
Snake800
На сайте с 02.02.2011
Offline
166
#4

Sitealert, точно, не заметил... Но вот, например, speedtest.net хостится вроде не в Таймвебе, но у него тоже на http есть подмена.

S
На сайте с 30.09.2016
Offline
459
#5
Snake800:
Но вот, например, speedtest.net хостится вроде не в Таймвебе, но у него тоже на http есть подмена.

Я не увидел там подмены скриптов сайта. Только обычная реклама.

foxi
На сайте с 02.03.2011
Offline
876
#6
Snake800:

  • Подмена работает только на сайтах по протоколу http не HTTPS.
  • .

    Это делается давно и все активнее. И у российских операторов и у украинских. Про всякие бесплатные вайфаи и "самые быстрые браузеры" с левых сайтов вообще молчу.

    Переходите на https и будет счастье, чем скорее вы это сделаете, тем скорее будет счастье, других вариантов нету.

    Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
    S
    На сайте с 30.09.2016
    Offline
    459
    #7
    foxi:
    Переходите на https и будет счастье, чем скорее вы это сделаете, тем скорее будет счастье, других вариантов нету.

    Он не про свой сайт, насколько я понял. Он про оператора связи. Но примеры всё какие-то неудачные - никакого подтверждения пока что.

    foxi
    На сайте с 02.03.2011
    Offline
    876
    #8

    Sitealert, операторы подменяют контент и вешают рекламу, особенно касается мобильных операторов, об этом не раз было и на хабре и на vc. Еще они подменяют 404 и прочие ошибки, выдавая свои заглушки с рекламой.

    S
    На сайте с 30.09.2016
    Offline
    459
    #9

    foxi, здесь вопрос конкретно про Ростелеком. Я пока проблем не заметил.

    SV
    На сайте с 03.11.2008
    Offline
    1384
    #10
    foxi:
    Переходите на https и будет счастье, чем скорее вы это сделаете, тем скорее будет счастье, других вариантов нету.

    Вывод не верный, а другой вариант есть и он единственно правильный - решать в судах нарушения операторами законов о невмешательсве в ИТ-системы.

    Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***

    Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий