Перейти к содержимому

Aliberry.ru


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 18

#1 mihchesn

mihchesn

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 80 сообщений

Отправлено 14 Ноябрь 2015 - 14:30

После великой аферы распродажи 11.11 вместо страницы Aliexpress сперва стала открываться Aliberry.ru, а потом редирект на основную страницу Ali.
В связи с этим два вопроса:
1. Что это - Aliberry.ru? Очередной "молл" с накруткой 100% и кривым машинным переводом.
2. Это у всех пользователей в РФ такое счастье или мне просто повезло подхватить какой-то вирь?

#2 macrel

macrel

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 3 562 сообщений

Отправлено 14 Ноябрь 2015 - 15:04

Просмотр сообщенияmihchesn сказал:

мне просто повезло подхватить какой-то вирь?
судя по всему вирь...

#3 Liss79

Liss79

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 14 Ноябрь 2015 - 16:53

О, наконец-то! Значит я не один такой кто борется с этой заразой.
Тоже самое. Иногда при заходе на Аliexpress.com рандомно (бывает сразу, а бывает после пары кликов или залогинившись) кидает на чертов aliberry.ru а потом обратно на аliexpress.
Браузер Хром (расширения все поотрубал, но не помогло)
Весь комп уже перелопатил но ничего похожего на вирус найти не могу.
Очень похоже на ту петрушку которую устроил Ростелеком с космобонус.рф
Если это вирь дайте плиз знать.

#4 mihchesn

mihchesn

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 80 сообщений

Отправлено 14 Ноябрь 2015 - 17:39

Liss79,
Тут что более серьезное чем просто вирь, т.к. оно не зависит от браузера (Opera, IE и тд.) без разницы
Нет проблема возникает у меня только в Chrome и только при авторизации в Ali

Сообщение отредактировано.


#5 Naevus

Naevus

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 2 190 сообщений

Отправлено 14 Ноябрь 2015 - 17:50

У меня никаких беррей нету.

Проверим домен:
https://www.nic.ru/w...ery=aliberry.ru
created: 2015.10.23
похоже специально создано под акцию. Проплачено на год.

Открыл приватное окно, зашел. Шлак какой то. Больше всего похоже на кэшбэк сервис. - заходишь, переходишь по ссылке (или редиректися само) и твой кэшбек у кого то в кармане.

Я за то, что это вирус какой то. Ну или фишинг или кардинг. или еще что то подобное.
Предлагаю слить ссылку всем извесным антивирусам и занести ее в черный список браузера/прокси/файрвола (у кого что есть). Ну в карйнем случае в хостс прописать (кстати, тогда можно будет попробовать отловить откуда оно вызывается

ps Почитал про космобонус - да, очень похоже.

pps У меня транстелеком.

Сообщение отредактировано.


#6 Liss79

Liss79

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 14 Ноябрь 2015 - 18:00

mihchesn,
Странно странно.
Попробовал пару тройку раз в древнющей опере и в чистом IE11. Редиректа так и не было.
Походу редирект происходит по каким то своим внутренним событиям.
Будем дальше посмотреть.

#7 mihchesn

mihchesn

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 80 сообщений

Отправлено 14 Ноябрь 2015 - 20:08

Liss79,
Да редирект происходит при исполнении скрипта авторизации в Chrom -е.
Закрыл через hosts aliberry - появился висяк после авторизации.
Naevus,
Да налицо накрутка посещений.

#8 SEM

SEM

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 2 360 сообщений

Отправлено 15 Ноябрь 2015 - 12:35

Просмотр сообщенияmihchesn сказал:

Закрыл через hosts aliberry - появился висяк после авторизации.
Попробуйте перенаправить не на 127.0.0.1, а на Али...

#9 admin

admin

    Администратор

  • Администратор
  • PipPipPip
  • 3 379 сообщений

Отправлено 15 Ноябрь 2015 - 13:20

Просмотр сообщенияmihchesn сказал:

Да редирект происходит при исполнении скрипта авторизации в Chrom -е.

Cкорее всего какой-то не добросовестный плагин в браузере или программа на компьютере перенаправляет Вас на этот сайт. АлиЭкспресс к нему отношения скорее всего не имеет, так как им никакого толку от этого сайта нет.

Просмотр сообщенияLiss79 сказал:

Очень похоже на ту петрушку которую устроил Ростелеком с космобонус.рф

Или да, это Ваш провайдер играется

#10 dop2000

dop2000

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 18 Ноябрь 2015 - 19:22

Такая же ерунда и тоже началась дней 10 назад! Часто при поиске на али на секунду выбрасывает на сайт aliberry, потом обратно.
Проблема только в firefox, в IE и хроме все нормально.
Проверил компьютер кучей разных антивирусов, вроде все чисто. Никаких левых плагинов в firefox не ставил и не вижу.

#11 Serj_I

Serj_I

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 36 сообщений

Отправлено 19 Ноябрь 2015 - 01:03

Похоже это сам али.
У меня при заходе на главную страницу редирект происходит.
Вот что нарыл:
ec2-52-30-234-160.eu-west-1.compute.amazonaws.com [52.30.234.160]

GET /?sub=5042&rfast=1&to=http%3A%2F%2Fru.aliexpress.com%2F HTTP/1.1
Host: aliberry.ru
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
Referer: http://ru.aliexpress.com/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: PHPSESSID=19uoiebbrtpt767t12ff8n3g06
X-Compress: null
GET / HTTP/1.1
Host: aliberry.ru
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
Referer: http://ru.aliexpress.com/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: PHPSESSID=19uoiebbrtpt767t12ff8n3g06
X-Compress: null
GET /favicon.ico HTTP/1.1
Host: aliberry.ru
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
Accept: */*
Referer: http://aliberry.ru/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: PHPSESSID=19uoiebbrtpt767t12ff8n3g06
X-Compress: null


#12 Mikalai

Mikalai

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 334 сообщений

Отправлено 19 Ноябрь 2015 - 02:36

<p>

Просмотр сообщенияmihchesn сказал:

<br />Что это - Aliberry.ru?<br />
<br /></p>
Считайте это вирусом, потому что при переходе на али наверняка добавляется реферальный код.
У меня было похожее с firefox - удалил браузер и потом еще на системном диске почистил его остатки вручную, затем установил заново. Рефка перестала появляться при авторизации и/или переходе в корзину.

<p>

Просмотр сообщенияLiss79 сказал:

<br />но ничего похожего на вирус найти не могу<br />
<br /></p>
Идете на системный диск, если у вас тотал коммандер, то заходите в папку users и начинаете там по содержимому файлов искать aliberry или другую гадость, которая прицепилась...

#13 dop2000

dop2000

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 19 Ноябрь 2015 - 05:07

Просмотр сообщенияSerj_I сказал:

Вот что нарыл:
ec2-52-30-234-160.eu-west-1.compute.amazonaws.com [52.30.234.160]

А откуда это и что означает?

Просмотр сообщенияMikalai сказал:

Идете на системный диск, если у вас тотал коммандер, то заходите в папку users и начинаете там по содержимому файлов искать aliberry или другую гадость, которая прицепилась...

Попробовал - находится только в хистори firefox'а, больше никаких подозрительных файлов нет с этой строчкой. Если это какой-то червяк, то там линк наверняка обфусцирован (зашифрован).

#14 Liss79

Liss79

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 19 Ноябрь 2015 - 11:15

Кхм... только хотел сказать что вроде нашёл из-за чего это происходит, а вы меня малость смутили. Но посмотрим.
Сейчас по очереди стал включать все расширения которые у меня установлены и логинится на али, затем удалять куки и по новой. Дошёл до friGate CDN.
Так вот... меня забросывало на aliberry каждый раз. Но самый интересный момент в том что совершенно не обязательно его активировать (иконка на панели всегда off), достаточно просто того что он установлен в Chrome и включен в "настройки - расширения".
То есть расширение отслеживает ваш трафик даже когда вы его не используете.
И сдается мне что это расширение в этом же состоянии еще и выдачу yandex'a подменяет.

Проверяйте у себя.

#15 dop2000

dop2000

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 19 Ноябрь 2015 - 14:00

Мне кажется, редирект происходит очень нерегулярно. Иногда целый день все хорошо, а иногда за пять минут несколько раз перекидывает.
Так что надо отключить подозрительные плагины и несколько дней понаблюдать, прежде чем делать выводы.

У меня в firefox из подозрительных дополнений только ACE Player, остальные все приличные. "friGate CDN" - такого нет.

#16 Serj_I

Serj_I

    Продвинутый пользователь

  • Участник
  • PipPipPip
  • 36 сообщений

Отправлено 19 Ноябрь 2015 - 15:47

Просмотр сообщенияdop2000 сказал:

А откуда это и что означает?
Это IP адрес сайта и на каком сервере он находится.

И еще если зайти на этот сайт то все ссылки ведут на http://alipromo.com

Сообщение отредактировано.


#17 Liss79

Liss79

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 20 Ноябрь 2015 - 22:18

Ну-с, у кого какие успехи? Я поигрался еще с FriGate, все было также как я описывал раньше.
Потом играться надоело и я удалил это расширение и больше редиректов не было.
На всяк случай еще снес Сhrome и поставил заново. Расширение больше не ставил.
Редиректов тьфу-тьфу-тьфу нет. Уверен, или разработчик сам встроил эту хрень (намеки есть)
или решил "посотрудничать" на стороне, а кто там и что по пути подгружает вам через прокси это его не сильно волнует.
Инфа для размышления:
http://habrahabr.ru/post/255333/
Если кто нащупает что-нить более конкретное пишите, а то до жути интересно узнать что это за зараза такая.

#18 dop2000

dop2000

    Новичок

  • Участник
  • Pip
  • 8 сообщений

Отправлено 21 Ноябрь 2015 - 18:03

А у меня, похоже, виновником таки оказался плагин AS Magic Player дл файерфокса.
Без него два дня не было редиректов, а сейчас включил и сразу перекинуло на алиберри..
Я знал, что этот плагин не очень "чистый", но такой подлости не ожидал.

#19 detrin

detrin

    Пользователь

  • Участник
  • PipPip
  • 28 сообщений

Отправлено 22 Ноябрь 2015 - 23:59

Просмотр сообщенияLiss79 (20 Ноябрь 2015 - 22:18) писал(а):

Ну-с, у кого какие успехи? Я поигрался еще с FriGate, все было также как я описывал раньше.
У меня тоже фригейт делает переадресацию. Удалил нафик его.