Gregory's Server
#netstalking #onion
держите сайт в торе? вполне вероятно у него есть двойник!
недавно разбирая выхлоп краулера, наткнулся на двойник своего федиверс инстанса
оригинал: iwojimagzktuisvveh6zjuv453wm6rnch6oefof66mt7nuoxn4nliwqd.onion
фэйк: iwojimaeioyyd75sdj7qednnv265xpdbabgtqoqr7krkv7v6ohxu6aad.onion
правда двойник косо отдает заглавную страницу, но вывод /api/v1/instance вполне норм.
везде где текстом есть имя хоста - оригинал заменяется на фэйк.
все бы ничего, поржать и забыть - но в дескрипшене у меня есть список известных онионовских федиверс инстансов.
сравнил. оказалось, что имена некоторых инстансов также меняются.
интересно:)
походил по некоторым из фэйков выяснилось (например), что мастодон визуально вполне прилично в фэковом варианте отображается.
идем дальше - стал смотреть, что из публичных ссылок еще на моем фэйке отображается.
...и при заходе на страницу своего профиля /@iwojima вижу какието левые ссылки, а в коде страницы - стиль вида
<style>.WpZZ{color:#d26b2c01 !important;border-style:none !important;background-color:#1e148001 !important;font-size:1px;padding:0 !important;margin:0 !important}</style>
а дальше - те самые левые ссылки.
посмотрел на других фэйках - похожие вставки находятся и там.
промежуточный итог - имеем фэйковые имена сайтов с совпадающими первыми 7ю символами, которые перенаправляются на оригинальные сайты, все совпадения в тексте хостэймов оригинальных сайтов заменяются на фэйки. к некоторым страничкам добавляется SEO-спам со ссылками - видимо чтобы поднимать фэйки в поисковых выдачах выше оригинала.
держите сайт в торе? вполне вероятно у него есть двойник!
недавно разбирая выхлоп краулера, наткнулся на двойник своего федиверс инстанса
оригинал: iwojimagzktuisvveh6zjuv453wm6rnch6oefof66mt7nuoxn4nliwqd.onion
фэйк: iwojimaeioyyd75sdj7qednnv265xpdbabgtqoqr7krkv7v6ohxu6aad.onion
правда двойник косо отдает заглавную страницу, но вывод /api/v1/instance вполне норм.
везде где текстом есть имя хоста - оригинал заменяется на фэйк.
все бы ничего, поржать и забыть - но в дескрипшене у меня есть список известных онионовских федиверс инстансов.
сравнил. оказалось, что имена некоторых инстансов также меняются.
интересно:)
походил по некоторым из фэйков выяснилось (например), что мастодон визуально вполне прилично в фэковом варианте отображается.
идем дальше - стал смотреть, что из публичных ссылок еще на моем фэйке отображается.
...и при заходе на страницу своего профиля /@iwojima вижу какието левые ссылки, а в коде страницы - стиль вида
<style>.WpZZ{color:#d26b2c01 !important;border-style:none !important;background-color:#1e148001 !important;font-size:1px;padding:0 !important;margin:0 !important}</style>
а дальше - те самые левые ссылки.
посмотрел на других фэйках - похожие вставки находятся и там.
промежуточный итог - имеем фэйковые имена сайтов с совпадающими первыми 7ю символами, которые перенаправляются на оригинальные сайты, все совпадения в тексте хостэймов оригинальных сайтов заменяются на фэйки. к некоторым страничкам добавляется SEO-спам со ссылками - видимо чтобы поднимать фэйки в поисковых выдачах выше оригинала.
врядли хочется авторизоваться на скрыторесурсе через фэйк оригинала:)
на стороне клиента более/менее просто - можно настроить фильтр на прокси/adblocks на этот стиль.
правда тэги внутри {} меняются местами, но их набор - остается постоянным. можно блокировать или выдавать предупреждение при нахождении.
на стороне сервера - хуже. отличия при обращении клиента к оригиналу и к фэйку есть, но они укладываются в rfc7230: у фэйка - заголовки полей хедера всегда начинаются с маленькой буквы и порядок полей - зеркален к оригиналу.
идем на оригинал -
�¥?�¥?GET /api/v1/instance HTTP/1.1
Host: iwojimagzktuisvveh6zjuv453wm6rnch6oefof66mt7nuoxn4nliwqd.onion
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:126.0) Gecko/20100101 Firefox/126.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Priority: u=1
а вот что приходит если ломишься через фэйк:
��T���GET /api/v1/instance HTTP/1.1
priority: u=1
upgrade-insecure-requests: 1
connection: keep-alive
accept-encoding: gzip, deflate
accept-language: en-US,en;q=0.5
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
user-agent: Mozilla/5.0 (X11; Linux x86_64; rv:126.0) Gecko/20100101 Firefox/126.0
host: iwojimagzktuisvveh6zjuv453wm6rnch6oefof66mt7nuoxn4nliwqd.onion
отловить это наверно както можно, но стоит ли городить на основании этого фильтр - для меня вопрос открытый
вроде правильные клиенты всегда отдают поля с большой буквы и начитают с имени хоста, но хз, всегда найдуться исключения тем более формат позволяет.
врядли хочется авторизоваться на скрыторесурсе через фэйк оригинала:)
на стороне клиента более/менее просто - можно настроить фильтр на прокси/adblocks на этот стиль.