Uno dei principali canali TV del mio paese ha un sito Web da cui è possibile guardarlo dal vivo - in streaming. Ovviamente, nel frattempo serve annunci pubblicitari, principalmente da partner di Google. Una notte ho aperto il sito web mentre guardavo i miei log del router e ho notato che, secondo il mio router, stavo facendo DDoSed di circa 20 indirizzi IP.
Ho esaminato ulteriormente e ho scoperto che questo accade più volte che apro il sito web nei momenti di punta (20-23) e autorizzo Javascript di terze parti. Nello specifico, accade quando consento al dominio partners.googleadservices.com, che a sua volta carica altri javascript su un dominio diverso, che a sua volta carica più javascript esterni, che alla fine risulta che il mio IP viene catturato e "DDoSed" dal botnet.
Il dominio di terzo livello dell'URL effettivo caricato per ultimo prima dell'attivazione dell'evento è elencato online come dominio che qualche tempo fa aveva a che fare con la distribuzione / monetizzazione di un'estensione browser dannosa.
Ciò che il router chiama "DDoS" è in realtà composto da pacchetti UDP inviati da porte casuali a porte casuali. I log non sono più specifici e non ho avuto voglia di inoltrare tutto il traffico delle porte per analizzarlo.
Ho dato un'occhiata alle macchine dietro quegli IP e sembrano macchine compromesse: appartengono a vari registrar molto diversi e talvolta espongono servizi apparentemente vulnerabili (server web, vecchie interfacce router, controller di webcam ... .).
La cosa più strana è che la prima volta che ho urlato gli IP di origine, la maggior parte di loro appartiene al mio paese (non uno enorme) e la più frequente era in realtà dalla mia città - decisamente non grande! Ma probabilmente è stata solo una coincidenza dato che con più dati gli IP sembrano essere distribuiti in tutta Europa.
Ora ho due domande e spero sia opportuno chiederle qui. 1) È quello che mi sembra? Un annuncio malevolo o compromesso e che attiva una scansione botnet per reclutare più macchine? 2) È normale e comune? cosa si dovrebbe fare? Ignoralo? Dillo al proprietario del sito web? Dillo al fornitore di annunci? Dovrebbe / am-i-legally-allowed-to investigare di più?
Grazie!