Курьезный случай произошел в американской компании, специализирующейся на вебзащите SUKURI.NET. Их специалисты искали пути взлома веб-сайта, в то время как домен уже сменил владельца.
История началась с того, что служба техподдержки получила обращение одного из клиентов, в котором была просьба очистить его сайт от вредоносного ПО. На сайте клиента постоянно появлялась реклама «XWINNER COM», что вызвало у экспертов подозрения о взломе и заражении сайта.
Долгий и тщательный анализ трафика выявил, что ссылки на сервер, откуда загружаются рекламные картинки, внедрены в шаблоны самого сайта. На это указывали комментарии в коде и описании к шаблону сайта. Но такой способ распространения рекламы не характерен для взлома, и поэтому поиски проблемы пришлось продолжить. Правда, позже работники компании все же выяснили, что это было сделано самим разработчиком шаблона. Сайт был местом распространения рекламных объявлений, а после того, как владелец домена сменился, никаких изменений не проводилось.
Новым обладателем домена стала компания China Capital Investment Limited, которая владеет 107288 доменами. Веб-сайт располагался на сервере с IP-адресом 104.130.124.96, и этот сервер обслуживает 196879 сайтов.
Этот случай подробно, со скриншотами расписан в блоге компании. При этом новый владелец доменов, который приобрел их вполне легальным и законным путем, обвиняется в киберсквоттинге и «вредоносной рекламе». Скорее всего, специалисты сэкономили бы больше времени, если бы начали поиск следов взлома с анализа записей who is и DNS.