Artykuł

kwi 19 2010
0

Podejrzany ruch siecowy z domeny qq829.com

W ostatnich kilku dniach, wielu webmasterów w obrębie całego świata (w tym ja sam) zaobserwowało w swoich statystykach (często był to problem zgłaszany przez użytkowników Google Analytics), dziwnie wyglądające linki z domeny qq829.com. Co ciekawe, serwis znajdujący się w tej domenie jest prowadzony w języku chińskim. Ponieważ zjawisko to staje się coraz poważniejsze, powstało wiele dyskusji na różnorakich forach.

Malware?

Według artykułu qq829.com: Malicious Scripts or Spam from China? , wskazana wyżej domena może być źródłem spamu, malware i innych podobnych przyjemności. W tej chwili, wciąż trwa analiza wyżej wymienionego serwisu, domeny oraz wpisów pojawiających się w statystykach. Jednak już wiadomo, że jest ona powiązana z inną niesławną domeną mianowicie cnzz.com.

W Google Analytics, linki te są widoczne jako referral czyli zwykłe odsyłacze. Każda wizyta z takiego linku trwa według GA, dokładnie 0 sekund i jest powtarzana kilkukrotnie w ciągu dnia, często z różnych chińskich miast. Nie ma na to wpływu to czy korzystamy ze znanego CMSa, czy też może mamy nasz autorski skrypt. Na razie więcej jest niewiadomych niż pewnych informacji. Nie mniej jednak, warto się upewnić, że nasze hasło do serwera FTP oraz panelu administracyjnego jest wystarczająco silne.

Analizą problemu zajęło się przedsiębiorstwo AurelloSoft specjalizujące się w dziedzinie bezpieczeństwa.

Z pomocą .htaccess

Aurello sugeruję aby w ramach bezpieczeństwa zablokować ruch z obu domen wymienionych w tym wpisie. Aby to uczynić wystarczy dodać następujące wpisy w pliku .htaccess:

SetEnvIfNoCase Referer "^qq829" TOBLOCK=1
SetEnvIfNoCase Referer "^cnzz" TOBLOCK=1

<FilesMatch "(.*)">
Order Allow,Deny
Allow from all
Deny from env=TOBLOCK
</FilesMatch>

Jeśli ktoś ma jakieś dodatkowe informacje związane z całą sprawą, zapraszam do zostawienia informacji w komentarzu:)

Komentarze

blog comments powered by Disqus