Moin,
DL1EGR DG4SFS
erst habe ich mir die Domain Einträge angeschaut und ein paar whois Abfragen gemacht.
qrpcluster.com has address 46.8.9.207
qrpcluster.com has address 46.8.9.205
qrpcluster.com has address 46.8.9.206
Host qrpcluster.com not found: 2(SERVFAIL)
qrpcluster.com mail is handled by 10 mail.parktons.com.
womit ich schon auf https://gransy.com gekommen bin.
Dann habe ich einfach die Quelltexte der Seite mit curl heruntergeladen, gesehen, dass dort ein Javascript enthalten ist,
window.location = 'http://ww53.qrpcluster.com/';
welches die oben stehende Seite aufruft (daher kommen dann weitere Warnmeldungen vom Firefox). Den weiteren Quelltext habe ich mir dann auch angeschaut.
// Initialize the application when DOM is ready
document.addEventListener('DOMContentLoaded', () => {
const app = new DeliveryApp();
app.initialize().catch(error => {
console.error('Application initialization failed:', error);
const errorMessage = error instanceof DeliveryError ?
error.message :
CONFIG.ERROR_MESSAGES.INITIALIZATION_ERROR;
app.ui.showError(errorMessage);
});
});
Alles anzeigen
und zusätzlich von ChatGPT analysieren lassen, weil ich keine Lust hatte, jede Zeile selbst nachzuvollziehen. Das kann ein LLM wie ChatGPT schnell und recht gut.
Das Script musste ich hier massiv kürzen, weil das Forum eine Zeichenbegrenzung hat und das Script 797 Zeilen hat. Daher nur ein kleiner Ausschnitt.
Wer es selbst herunterladen möchte, dazu ist nur curl erforderlich, was man unter Debian basierten Linux einfach mit sudo apt install curl installieren kann, falls noch nicht installiert. Windows und MacOS Version findet man im Netz. Und so bekommt man das Script:
curl -k -o qrpcluster.js https://ww53.qrpcluster.com/_static/deliver.js?nonce=3498571
Das geht auch mit einem Webbrowser, ich weiß nur nicht was unter Windows da passiert 
Zitat
Was macht das Script?
Das Skript ist Teil eines Werbe-/Domain-Parking-Frameworks („DeliveryApp“) und steuert, wie Inhalte, Werbung oder Weiterleitungen auf der geparkten Domain angezeigt werden.
Wesentliche Funktionen:
- Konfiguration & Fehlertexte:
- Definiert URLs (z.B. / _d, / _a, / _c für verschiedene Services bzw. Seiten).
- Meldet z.B. „Ad Blocker erkannt“, „Domain nicht konfiguriert“, „Fehler beim Server“ usw.
- API-Anfrage (fetchPageData):
- Sendet eine POST-Anfrage an den Endpunkt / _d (DELIVER), um zu ermitteln, wie weiter verfahren wird.
- Übergibt u.a. die aktuelle URL, Referrer, User-Agent, Fensterinfos.
- Reagiert auf Antworten mit Redirects oder Inhalten.
- Umgang mit Geo-Blockierungen:
- Beispiel: Wenn Nutzer aus Russland kommen, wird eine Umleitung auf eine „Fallback“-URL ausgelöst.
- Handling von Ad-Blockern:
- Lädt ein Google Adsense-Script (caf.js) zur Auslieferung von Werbung.
- Erkennt, wenn ein Ad-Blocker aktiv ist, und zeigt dann eine entsprechende Fehlermeldung.
- Rendering von Inhalten:
- Baut dynamisch Container für Werbung, Suchboxen und verwandte Suchbegriffe ein.
- Kann benutzerdefinierte CSS und JavaScript vom Server einfügen.
- Event-Logging:
- Sendet diverse Events zurück an den Server (z.B. Seitenladeerfolge, Fehler, Ad-Blocker, Fallbacks), um die Auslieferung zu tracken.
- Weiterleitungen:
- Je nach Serverantwort kann das Skript den Nutzer automatisch weiterleiten, z.B. auf Werbeseiten oder „Fallback“-Seiten.
- UI-Handling:
- Zeigt Fehlertexte, Kontakthinweise oder „Aggressive“ Banner an, wenn konfiguriert.
Bis hier sind erstmal keine Schadprogramme oder gefährliche Dinge enthalten gewesen.
Dann habe ich im Firefox die Seiten direkt über die IP-Adressen aufgerufen und gesehen, dass dort Onlinespiele, bzw. Casino Angebote dargestellt werden.
http://46.8.9.207
http://46.8.9.205
http://46.8.9.206
Hinter den IP Adressen verbergen sich dann per Script mehr oder wenig zufällige Seitenaufrufe, man landet nach dem Löschen der Cookies auf unterschiedlichen Seiten, Fußball, Games, Casino und auch Online-Shops (durchaus seriöse Seiten auch in Deutschland). Das ganze sieht somit danach aus, dass die Domäne qrpcluster.com aufgegeben wurde, die von einem Domain-Parker übernommen wurde und nun monetarisiert wird.
Wer Fehler in der Analyse findet oder meine (und ChatGPTs) Deutung der Javascripts anzweifelt, darf mich gerne auf Fehler oder Fehldeutungen der Scripts hinweisen, ich lerne gerne dazu, was IT-Security angeht. Eigentlich mache ich das im QRL täglich, das lernen meine ich, Webseiten Analyse auch, aber nicht so häufig. Aber dann bitte mit Begründung und Code Beispielen.
73, Tom