Semana passada eu estava vendo os logs de acesso ao meu site e reparei um tráfego muito alto vindo do site sieunhanthankiem[.]com, de início não deu muita importante, porém, hoje mais cedo fui verificar novamente os logs de acesso ao servidor e percebi que não havia nenhum tráfego mais, verifiquei então os logs de erros do servidor e vi novamente o site mencionado, fiz o acesso a esse site e para minha surpresa ele havia se transformado em um clone do shellzen.net.

clone009

Na imagem acima podemos comprovar isso, dei então o comando WHOIS para verificar se existiam dados úteis sobre esse domínio.

clone003
clone004

Com os dados que consegui pegar comecei a pesquisar na internet e verificar se descobria mais alguma coisa, fiz uma busca pelo e-mail informado acima e vi que esse mesmo e-mail fez a compra de diversos outros sites, grande maioria parece ser de jogos online e de fraude, falo isso com base nos nomes dos sites, parece ser nomes de sites para hospedar campanhas de phishing ou para criar lojas de venda de cartão de crédito.

clone001

clone006

Peguei o endereço também, que da como origem um hospital no Vietnã.

clone008

clone005

Para tentar buscar mais informações sobre esses domínios que encontrei, fui até o site reverseinternet.com, para minha surpresa o mesmo foi hackeado, então, a pesquisa nesse site vai ficar para a próxima.

reserve-internet_21-05

A questão agora era resolver esse problema, ou seja, esse roubo de tráfego que estava acontecendo com o shellzen.net, pois quando eu aplicava o comando “nslookup” no site ladrão, ele entregava o IP do shellzen.net, a solução mais rápida que pensei foi simplesmente mudar o meu servidor de país, estava anteriormente em Singapura, agora coloquei ele nos Estados Unidos, o outro problema para resolver era evitar que isso fosse feito pelo ladrão novamente, verifiquei novamente os logs de acesso e filtrei todo o arquivo em busca do domínio do site ladrão, para minha surpresa, achei 2566 ocorrências desse domínio, ou seja, ele tinha que fazer o bloqueio (DROP) de todos esses IPs, mas como fazer isso sem perder horas e horas aplicando regras no Iptables?

clone011
clone012
clone014

Apliquei o filtro GREP para buscar apenas pelo domínio que eu queria nos arquivos de logs do servidor web e depois dei o comando CUT pois queira pegar apenas a primeira coluna, onde tem os Ips.

Agora eu tinha que pegar todos esses Ips e fazer o DROP deles no Iptables, para isso, fiz a criação de uma variável e coloquei todos os Ips lá, basta inserir aspas e depois fechar aspas no final.

clone015
Depois criei um lanço FOR pegando todos os Ips que estavam dentro dessa variável e inserindo eles na regra do Iptables.

clone016
É preciso colocar o sinal de $ (dólar) para que o Bash entenda que é uma variável.
O comando ficou assim:
for i in $ips; do iptables -A INPUT -s $i -j DROP; done

Caso o objetivo fosse fazer o bloqueio apenas de 1 Ip, o comando seria:
iptables -A INPUT -s 123.456.789.10 -j DROP

Espero que isso resolva esse caso que sinceramente não entendi o motivo de ter acontecido, a única coisa que posso falar é que essa pessoa deve ser algum tipo de bandido virtual, não por ter feito isso com o shellzen.net mas pelos domínios que ela possui, infelizmente o site ainda está roubando uma parcela do tráfego.

clone017