Semana passada eu estava vendo os logs de acesso ao meu site e reparei um tráfego muito alto vindo do site sieunhanthankiem[.]com, de início não deu muita importante, porém, hoje mais cedo fui verificar novamente os logs de acesso ao servidor e percebi que não havia nenhum tráfego mais, verifiquei então os logs de erros do servidor e vi novamente o site mencionado, fiz o acesso a esse site e para minha surpresa ele havia se transformado em um clone do shellzen.net.
Na imagem acima podemos comprovar isso, dei então o comando WHOIS para verificar se existiam dados úteis sobre esse domínio.
Com os dados que consegui pegar comecei a pesquisar na internet e verificar se descobria mais alguma coisa, fiz uma busca pelo e-mail informado acima e vi que esse mesmo e-mail fez a compra de diversos outros sites, grande maioria parece ser de jogos online e de fraude, falo isso com base nos nomes dos sites, parece ser nomes de sites para hospedar campanhas de phishing ou para criar lojas de venda de cartão de crédito.
Peguei o endereço também, que da como origem um hospital no Vietnã.
Para tentar buscar mais informações sobre esses domínios que encontrei, fui até o site reverseinternet.com, para minha surpresa o mesmo foi hackeado, então, a pesquisa nesse site vai ficar para a próxima.
A questão agora era resolver esse problema, ou seja, esse roubo de tráfego que estava acontecendo com o shellzen.net, pois quando eu aplicava o comando “nslookup” no site ladrão, ele entregava o IP do shellzen.net, a solução mais rápida que pensei foi simplesmente mudar o meu servidor de país, estava anteriormente em Singapura, agora coloquei ele nos Estados Unidos, o outro problema para resolver era evitar que isso fosse feito pelo ladrão novamente, verifiquei novamente os logs de acesso e filtrei todo o arquivo em busca do domínio do site ladrão, para minha surpresa, achei 2566 ocorrências desse domínio, ou seja, ele tinha que fazer o bloqueio (DROP) de todos esses IPs, mas como fazer isso sem perder horas e horas aplicando regras no Iptables?
Apliquei o filtro GREP para buscar apenas pelo domínio que eu queria nos arquivos de logs do servidor web e depois dei o comando CUT pois queira pegar apenas a primeira coluna, onde tem os Ips.
Agora eu tinha que pegar todos esses Ips e fazer o DROP deles no Iptables, para isso, fiz a criação de uma variável e coloquei todos os Ips lá, basta inserir aspas e depois fechar aspas no final.
Depois criei um lanço FOR pegando todos os Ips que estavam dentro dessa variável e inserindo eles na regra do Iptables.
É preciso colocar o sinal de $ (dólar) para que o Bash entenda que é uma variável.
O comando ficou assim:
for i in $ips; do iptables -A INPUT -s $i -j DROP; done
Caso o objetivo fosse fazer o bloqueio apenas de 1 Ip, o comando seria:
iptables -A INPUT -s 123.456.789.10 -j DROP
Espero que isso resolva esse caso que sinceramente não entendi o motivo de ter acontecido, a única coisa que posso falar é que essa pessoa deve ser algum tipo de bandido virtual, não por ter feito isso com o shellzen.net mas pelos domínios que ela possui, infelizmente o site ainda está roubando uma parcela do tráfego.