Просматривал я статистику по переходам с разных сайтов на один, поддерживаемый и продвигаемый мною клиентский проект. И заметил 20 или переходов с сайта sape.ru. И поначалу глаз проскочил мимо этой строчки, но мозг сказал «СТОП! Что-то здесь не так». И правда, с помощью Сапы этот проект не продвигался, а о продаже ссылок с продвигаемого клиентского сайта и речи быть не может: и продвигать сложнее будет, да и на крысятничество похоже — клиенты и без того неплохо платят.
Полез в Sape.ru как оптимизатор искать возможность купить ссылки с клиентского домена. Ну, точно, нашелся. И тИЦ-то еще в АП до этого упал почти в 2 раза: с 250 до 130, а я и внимания не обратил, т.к. не важен был там тИЦ.
Следующим шагом полез на FTP. И тут следы заметны, достаточно отсортировать файлы по дате последнего изменения.
Написал письмо в обратную связь Сапы:
Здравствуйте.
У меня не совсем обычный вопрос. Дело в том, что я являюсь администратором сайта самый-лучший-сайт.ru. На днях я заметил, что сайт был взломан и на нем был размещен код биржы. К Вам у меня, конечно, никаких претензий нет. Но если Вы смогли бы подсказать кто это или хотя бы забанить этого пользователя, я был бы благодарен. 🙂
Вот код, который был размещен:
require_once(‘/путь-к-файлу-далеко-не-стандартный.php’);
$o[‘charset’] = ‘UTF-8’;
$o[‘request_uri’] = $_SERVER[‘REDIRECT_URL’];
$links = new SAPE_client($o);
echo « «; ?>Т.е. мало того, что сайт был взломан, так еще и ссылки размещались невидимые.
Вообще на данные взломщика я особо не рассчитывал, но главное было отобрать домен. Сам код я, конечно, сразу удалил, но пароль-то есть не только у меня и значит все может повториться.
Для подтверждения того, что сайтом управляю действительно я, техническая поддержка Сапы попросила разместить в корне файл sape.txt с определенным текстом. Что я и сделал.
Спустя какое-то время клиентский сайт оказался на моем аккаунте вебмастера, да я еще и данные его получил: e-mail и номер WebMoney кошелька. Весь процесс занял чуть больше суток и компании Sape.ru хочу выразить благодарность за помощь и оперативность в решении данного вопроса.
По сути, стоило передать все эти данные вместе с логами доступа к FTP, в управление по борьбе с компьютерными преступлениями. И взломщика бы нашли. И мало бы ему не показалось. Но нахождение его на Украине, необходимость привлечения клиента к этому процессу, и общее количество мороки явно превышало нанесенный ущерб. Так что в этот раз ему повезло.
Просмотр статистики, проверка даты последних изменений в файлах вашего сайта и резкое падение параметров белого сайта может говорить о том, что он был взломан. Будьте бдительны.
А кошелёк злоумышленника заблокировали?
Крылышкин, а вот об этом я не подумал. Вообще отличная идея. Попробую сейчас написать. 🙂
вот негодяй какой))
а у меня на работе (когда работал) — вебмастер — стал тоже ссылками барыжить с корпоративного сайта — только в открытую
в вашем случае — нет таких старых управленцев сайтом?!
Не, dert88, там в общем-то есть старый админ, конечно, но данные на него не похожи совсем. Да и сайт я фактически заново переделывал.
ну, я так — к общему сведению, что такое случается:)
Тоже столкнулся с такой же проблемой. В моем случае, саппорт все еще молчит. К тому же человек, который получил доступ к сайту, разместил не только код сапы. Пришлось принять ряд мер. Если кому интересно — http://www.heavyscream.ru/2009/07/20/vzlom-sayta-i-ustanovka-sape/
Крылышкин, а не подскажите на каком собственно основании можно заблокировать WM-кошелек хакера?
Если никаких транзакций между кошельками пострадавшего и хакера не было, то в чем конкретно можно выразить суть претензии при обращении в арбитраж WM?