Случилась со мной история. Зашёл я сутра (кофе ещё не пил) в web-интерфейс Gmail, а меня отредиректило на какую-то порнуху:
Покровы буду сорваны во второй части, а пока…
Я поразился. Посмотрел host gmail.com
, вроде всё красиво. Посмотрел dig
— тоже… Ну ладно, думаю, почту-то прочитать надо, отвечу я на ваши вопросы.
Вопросы для отвода глаз: пол и сколько лет. А потом предлагают какой-то старьёвский iPad:
Странное количество iPad-ов осталось, ну ладно, поиграем ещё, кликаю в iPad. Начинается неприкрытый лохотрон:
Ссылки «правила», «FAQ», «стоимость»… не работают ни одна.
Ввожу телефон от балды (прости, чувак 1232233!). И что я вижу?
«МТС: Ощути лёгкость дешёвого развода»
А теперь разоблачение
Про всё это я написал на хабр и первым же комментом l0calh0st сорвал покровы. Всё дело было в опечатке gmai.com
. Статью стали минусовать безбожно и я её убрал, но разобраться всё же хотелось. И что же оказалось? Кому МТС доверяет свою рекламу?
Пристегните ремни и приятного путешествия :-)
gmil.com
По данным whois, gmai.com зарегистрирован аж на острове Невисе в Карибском море. Не исключено, что где-то тут:
Серверов несколько и расположены они на Багамах, в штатах Техас и Вашингтон. Одним словом, в США. Выдают эти сервера редиректы:
HTTP/1.1 302 Found Date: Mon, 06 Aug 2012 05:06:20 GMT Server: Apache/2.2.3 (CentOS) X-Powered-By: PHP/5.1.6 Location: http://rediresense.com/?sov=gmai.com Content-Length: 0 Connection: close Content-Type: text/html; charset=UTF-8
Интересно, зачем для простого редиректа городить целый апач с ПХП? Но мы ещё увидим этот сетап. Двигаемся по редиректу.
rediresense.com
Зареген домен где-то вблизи Голд-Коста на востоке Австралии:
Сервер у них один и расположен там же, где один из серверов gmil.com, — на Багамах (Всё тот же город Nassau):
Выдаёт простой HTTP/1.1 200 OK
и документ с редиректом через JavaScript.
document.location = "http://the-awards-spot.com/?sov=173652&&id=cGiveaways2";
the-awards-spot.com
Зарегин там же, в Австралии.
А вот сервера в Швецарии и Нидерландах (Амстердам):
Эти сервера отвечают уже по-русски (даже, если не указан язык; видимо, рассчитаны только на русских лохов), выдают тонну куков и они-то и реализуют весь лохотрон. Хотя… они используют подозрительно знакомое ПО: Apache/2.2.3 (CentOS) и PHP/5.1.6. Видимо сетапит всю цепочку одна рука.
Ну и в заключении вы улетаете на
moipodpiski.ssl.mts.ru
Тут уже всё банально. Дело сделано. Наш родной RU-CENTER-REG-RIPN говорит, что это OJSC «Mobile TeleSystems». Не врёт. Хотя и тут всё не без выкрутасов:
moipodpiski.ssl.mts.ru is an alias for mtscluster.quantumart.ru. mtscluster.quantumart.ru is an alias for netcluster.quantumart.ru. netcluster.quantumart.ru has address 81.176.70.200
То есть на самом деле, это не MTC, а какой-то «Quantum Art».
А наше путешествие заканчивается… жалко не пятница :-)
Автор: michurin