Кому МТС доверяет свою рекламу

Случилась со мной история. Зашёл я сутра (кофе ещё не пил) в web-интерфейс Gmail, а меня отредиректило на какую-то порнуху:

Покровы буду сорваны во второй части, а пока…

Я поразился. Посмотрел host gmail.com, вроде всё красиво. Посмотрел dig — тоже… Ну ладно, думаю, почту-то прочитать надо, отвечу я на ваши вопросы.

Вопросы для отвода глаз: пол и сколько лет. А потом предлагают какой-то старьёвский iPad:

Странное количество iPad-ов осталось, ну ладно, поиграем ещё, кликаю в iPad. Начинается неприкрытый лохотрон:

Ссылки «правила», «FAQ», «стоимость»… не работают ни одна.

Ввожу телефон от балды (прости, чувак 1232233!). И что я вижу?

«МТС: Ощути лёгкость дешёвого развода»

А теперь разоблачение

Про всё это я написал на хабр и первым же комментом l0calh0st ^[1] сорвал покровы. Всё дело было в опечатке gmai.com. Статью стали минусовать безбожно и я её убрал, но разобраться всё же хотелось. И что же оказалось? Кому МТС доверяет свою рекламу?

Пристегните ремни и приятного путешествия :-)

gmil.com

По данным whois, gmai.com зарегистрирован аж на острове Невисе ^[2] в Карибском море. Не исключено, что где-то тут:

Серверов несколько и расположены они на Багамах, в штатах Техас и Вашингтон. Одним словом, в США. Выдают эти сервера редиректы:

  HTTP/1.1 302 Found
  Date: Mon, 06 Aug 2012 05:06:20 GMT
  Server: Apache/2.2.3 (CentOS)
  X-Powered-By: PHP/5.1.6
  Location: http://rediresense.com/?sov=gmai.com
  Content-Length: 0
  Connection: close
  Content-Type: text/html; charset=UTF-8

Интересно, зачем для простого редиректа городить целый апач с ПХП? Но мы ещё увидим этот сетап. Двигаемся по редиректу.

rediresense.com

Зареген домен где-то вблизи Голд-Коста на востоке Австралии ^[3]:

Сервер у них один и расположен там же, где один из серверов gmil.com, — на Багамах (Всё тот же город Nassau):

Выдаёт простой HTTP/1.1 200 OK и документ с редиректом через JavaScript.


document.location = "http://the-awards-spot.com/?sov=173652&&id=cGiveaways2";


the-awards-spot.com

Зарегин там же, в Австралии.

А вот сервера в Швецарии и Нидерландах (Амстердам ^[4]):

Эти сервера отвечают уже по-русски (даже, если не указан язык; видимо, рассчитаны только на русских лохов), выдают тонну куков и они-то и реализуют весь лохотрон. Хотя… они используют подозрительно знакомое ПО: Apache/2.2.3 (CentOS) и PHP/5.1.6. Видимо сетапит всю цепочку одна рука.

Ну и в заключении вы улетаете на

moipodpiski.ssl.mts.ru

Тут уже всё банально. Дело сделано. Наш родной RU-CENTER-REG-RIPN говорит, что это OJSC «Mobile TeleSystems». Не врёт. Хотя и тут всё не без выкрутасов:

moipodpiski.ssl.mts.ru is an alias for mtscluster.quantumart.ru.
mtscluster.quantumart.ru is an alias for netcluster.quantumart.ru.
netcluster.quantumart.ru has address 81.176.70.200

То есть на самом деле, это не MTC, а какой-то «Quantum Art».

А наше путешествие заканчивается… жалко не пятница :-)

Автор: michurin