Пользуюсь браузером Opera и вдруг сегодня начали самопроизвольно загружаться PHP-файлы.
Название файлов рандомное - tvigleXXX.php, в них прописаны редиректы на сайт tvigle.ru, с UTM-метками:
Скачивание идёт с домена traf.store, на главной странице сайта стоит заглушка, в которой написано, что это закрытая биржа трафика, вход в которую только по инвайтам.
Во whois данные закрыты, но домен зарегистрирован в 2019 году. Может кто поищет информацию.
В официальной группе tvigle вконтакте сыпятся жалобы. И есть мнение, что скачивание файлов происходит из-за установленного расширения для браузера SaveFrom.
Интересно, это партнёр какой-то? Но, судя по обычным utm-меткам, сами так трафик сливают?
27
показов
1.9K
открытий
Пфффф, да это реферальный партнер (реферал ref=1075) использовал грязные методы получения дешевого трафика, но прокосячился с настройками сервера, который вместо исполнения PHP скриптов стал их отдавать как файлы. Тоже-мне сенсация! Пожалуйтесь в tvigle на него да и все.
PS: Tvigle платит за просмотры некоторых роликов, любой может зарегистрироваться на одной из CPA платформ, где есть этот оффер, и попрактиковаться сам в приводе желающих посмотреть ролики)
PSS: Save Form скорее всего лишь одно из звеньев в цепочке, они трафик продают, но рефералом является кто-то между ними и твиглом. Кстати, возможно, этот кул-хацкер просто эксплуатирует какую-то уязвимость в расширении.
Тоже скачался файл; думаю, что дело всё же в расширении.
Интересно посмотреть на сверхразумов, которые решили, что это будет эффективной маркетинговой акцией.
Всё странно:
- Почему php? (его можно запустить с сервера, где стоит интерпретатор)
- Почему скачивает? (Он не должен был отдавать их браузеру в виде файла)
- Почему не зашифрован/сжат?
- Почему внутри файлов вызов списка URL от сервера, а не от браузера? (Так их быстро отследят и забанят)
Самый банальный ответ на все эти вопросы, что файлы должны были запуститься на сервере сервиса для вызова голосования этого сервиса, но я бы дергал сразу голоса, всё равно в логи запишутся голосование с адреса сервера, а не клиента. Непонятно.
Кто-то криво настроил nginx
Кажется вы не очень понимаете, что делает код с картинки
Да, вы правы, там в конце хидер перенаправит браузер, а не типа geturl (или как он там).
Ну здрасьте. Это же известное вредоносное расширение. Оно годами суёт рекламу. Если вам так нужно сохранять видосы и при этом не быть частью ботнета, то вот: https://addons.mozilla.org/ru/firefox/addon/video-downloadhelper/
С каждым расширением может быть такая участь.
Однако конкретно то, что в статье, уже ГОДЫ как известно своим адварным поведением.
О, еще и пост, в котором собирались недовольные комменты, потерли.
Хм...А что делать с этим Save From,если он встроен в сам браузер и его не как не удалить? Открывает сайты со спамом,но не Tvigle?
Сменить браузер
Та же ситуация, скачивание таких файллов