Реклама от провайдера – опыт первопроходцев

Лет 5 назад был у нас в разработке проект, который пришел с горящими сроками – нужно запустить к конкретной дате сайт. Тогда один известный магазин товаров и продуктов здорового питания заканчивал ребрендинг и закрывал последнюю оффлайн точку под старым неймингом. К этому событию и был приурочен сайт, рассказывающий историю становления бренда.

Сроки сжатые, делали второпях, но сайт не сложный: пара статичных страниц и раздел с видео и фото историями от сотрудников. Заказчику были важно, сделать сайт с админкой. Запилить кастомное решение не успевали, договорились делать на wordpress. Логики толком никакой нет, а вывод отзывов без серьезных доработок можно сделать на записях CRM-ки. Быстро сверстали, так же быстро прикрутили. До старта еще два дня в запасе. Красота, успеваем. Но тут присылают контент, который нужно залить – как раз таки отзывы. С ними серьезно затянули, поскольку нужно было сделать фото и видео с сотрудниками, которых нужно было еще выловить и «заставить» что-то рассказать на камеру. Отзывов оказалось не мало, к тому же в последний момент выяснилось, что кроме фоток и видео, нужно вывести под ними текст в разном стиле: ФИО, должность, дата и еще что-то. Но смысл в том, что в вордпрессе в стандартных записях под это не хватает полей и нужно добавить логики. Мудрить не стали и нашли плагин, который добавляет нужный функционал в админку и без сложностей отдает данные для вывода.

Только с плагином какие-то сложности оказались, и он ни в какую не скачивался с официального репозитория вордпресса. Ну мы не долго думаю, дабы не тратить время, скачали архив с «левого» сайта. Установили, все отлично. До конца дня залили контент и отправили заказчику. Запуск сайта – перенос на рабочий домен, должен быть на следующий день.

Утром пишет клиент – у нас тестовый сайт взломали, повсюду реклама полезла. Караул, сегодня же запускаемся! Что делать? Открываю сайт, а там все в порядке. Прошу скрины – на них действительно поверх страниц, отображаются рекламные блоки. Первая мысль: зря мы скачали плагин, 100% с вирусом был.

Причитать некогда, вот-вот сайт уже на боевой домен нужно переносить, а у нас вирус на тестовом. И непонятно, где этот вирус и как его искать. Самое плохое, что поймать отображение рекламы не получается, она только у заказчика видна и то не у всех, а нескольких менеджеров. Удаляем плагин, дергаем заказчика проверить – не помогло, реклама опять выскакивает. Вот теперь точно «попали», значит вирус скопировался уже куда-то за пределы плагина. Начинаем проверять айболитом – антивирусником для веба. Все чисто. В самом параноидальном режиме сканирования находим десяток обфусцированных(сконвертированные исходники, которые не прочесть) файлов. Как будто нащупали проблему. Какие-то файлы удалось нагуглить в расшифрованном виде, они оказались плагинами вордпресса, все в порядке. На всякий случай меняем их на оригиналы из чистого вордпресса. Но часть файлов все еще остались непонятными, пытаемся дешифровать, кое-как разбираем смысл, но там ничего криминального. В итоге потратили день на поиски, разломали весь сайт на куски, пока искали проблему. Заказчик паникует. Идеи, как починить, уже закончились. Но и в таком виде сайт нельзя запускать. И самое интересное, что последствия вируса, ловятся только у клиента. На наших компьютерах и телефонах полный порядок, никакой рекламы нет.

Решили выловить отображение рекламы, чтобы хоть как-то понять в чем дело. Расспросили все характеристики устройства, на котором ловится у менеджеров клиента. У нас в офисе ни у кого подобных моделей нет. Начали мучать знакомых, один нашелся – скидываем ссылку посмотреть, а там тоже полный порядок. Значит дело не в девайсе.Что может быть еще? Пришла еще идея – вдруг вирус по геопозиции или ip определяет город и только там показывает рекламу. Заказчик из столицы, а мы в Брянске. Новая зацепка, продолжаем расследование и узнаем ip клиента. Вместе со скрином ip-шника нам досталась полная расшифровка интернет-соединения, на которой в том числе и провайдер указан – Ростелеком. Для проверки гипотезы объясняю клиенту как установить и включить VPN для смены ip. И вот оно, при подключении через VPN, все хорошо – рекламы нет. Снова лезем в исходники сайта и пытаемся найти хоть что-то связанное с ip или каким-то еще определением местоположения. Но ничего криминального нет. Тупик.

Пока гуглили и искали еще возможные связи, наткнулись на какой-то форум, совсем не связанный с вирусами, вордпрессом и программированием. Точно уже не помню, о чем там была речь, но кто-то жаловался, что у него постоянно одна и таже назойливая реклама на разных сайтах. А в ответ еще пару комментариев, в одном из которых упомянули Ростелеком, мол за интернет платим и все равно рекламу смотрим. И тут вспоминается скрин заказчика с ip-адресом, на котором проскочил тот же провайдер. Пазл сложился, вот она прямая связь – провайдер. Но не может же провайдер подсовывать рекламу? Или все-таки может? Легко проверить: устанавливаем SSL сертификат для зашифрованного https соединения и отправляем заказчику ссылку на проверку. И о чудо! Все в порядке, рекламы нет.

Собираем сайт на место после того, как разобрали его до винтиков, в поисках вируса. Переносим на рабочий домен, сразу же ставим SSL и отправляем на финальную проверку. Все в порядке. Это победа! Правда, запустились с опозданием, поскольку на часах уже было около 2х часов ночи – новый день наступил. Но все же запуск удался и подвиг был совершен.

Я потом неделю ломал голову и не мог до конца поверить, что это провайдер на столько обнаглел и подсовывает рекламу всем своим клиентам, которые просматривают сайта по http. Потом появились другие заботы, и история забылась. Но спустя 3-4 месяца, мы снова поймали рекламный баннер, но уже сами его заметили. И это был какой-то из мобильных операторов. Второй раз было понятно, как действовать – установили SSL. А еще через пару месяцев по интернету поголовно стали появляться новости и статьи о беспределе провайдеров.

За 5 лет многое поменялось, теперь браузеры блокируют сайты без SSL, не подпуская пользователей к сайтам, что работают по http. Но в 2018 году таких мер не было и мне с командой «посчастливилось» стать одними их первых, кто столкнулся с недобросовестными провайдерами. Такой опыт на долго запомнился и с тех пор, даже на тестовые сайты по умолчанию ставим SSL.

Спасибо за внимание. Заходите к мой телеграм-блог «БАГодельня», там делюсь короткими заметками и историями. На VC только большие история публику, которые не помещаются в пост телеграм.