Получайте новые записи в блоге через RSS RSS

Взлом клиентского сайта и благодарность Sape.ru

hacked-siteПросматривал я статистику по переходам с разных сайтов на один, поддерживаемый и продвигаемый мною клиентский проект. И заметил 20 или переходов с сайта sape.ru. И поначалу глаз проскочил мимо этой строчки, но мозг сказал «СТОП! Что-то здесь не так». И правда, с помощью Сапы этот проект не продвигался, а о продаже ссылок с продвигаемого клиентского сайта и речи быть не может: и продвигать сложнее будет, да и на крысятничество похоже — клиенты и без того неплохо платят.

Полез в Sape.ru как оптимизатор искать возможность купить ссылки с клиентского домена. Ну, точно, нашелся. И тИЦ-то еще в АП до этого упал почти в 2 раза: с 250 до 130, а я и внимания не обратил, т.к. не важен был там тИЦ.

Следующим шагом полез на FTP. И тут следы заметны, достаточно отсортировать файлы по дате последнего изменения.

Написал письмо в обратную связь Сапы:

Здравствуйте.

У меня не совсем обычный вопрос. Дело в том, что я являюсь администратором сайта самый-лучший-сайт.ru. На днях я заметил, что сайт был взломан и на нем был размещен код биржы. К Вам у меня, конечно, никаких претензий нет. Но если Вы смогли бы подсказать кто это или хотя бы забанить этого пользователя, я был бы благодарен. 🙂

Вот код, который был размещен:

require_once(‘/путь-к-файлу-далеко-не-стандартный.php’);
$o[‘charset’] = ‘UTF-8’;
$o[‘request_uri’] = $_SERVER[‘REDIRECT_URL’];
$links = new SAPE_client($o);
echo ««; echo $links->return_links(); echo ««; ?>

Т.е. мало того, что сайт был взломан, так еще и ссылки размещались невидимые.

Вообще на данные взломщика я особо не рассчитывал, но главное было отобрать домен. Сам код я, конечно, сразу удалил, но пароль-то есть не только у меня и значит все может повториться.

Для подтверждения того, что сайтом управляю действительно я, техническая поддержка Сапы попросила разместить в корне файл sape.txt с определенным текстом. Что я и сделал.

Спустя какое-то время клиентский сайт оказался на моем аккаунте вебмастера, да я еще и данные его получил: e-mail и номер WebMoney кошелька. Весь процесс занял чуть больше суток и компании Sape.ru хочу выразить благодарность за помощь и оперативность в решении данного вопроса.

По сути, стоило передать все эти данные вместе с логами доступа к FTP, в управление по борьбе с компьютерными преступлениями. И взломщика бы нашли. И мало бы ему не показалось. Но нахождение его на Украине, необходимость привлечения клиента к этому процессу, и общее количество мороки явно превышало нанесенный ущерб. Так что в этот раз ему повезло.

Просмотр статистики, проверка даты последних изменений в файлах вашего сайта и резкое падение параметров белого сайта может говорить о том, что он был взломан. Будьте бдительны.


Заметки по теме:

комментариев 7

  1. Крылышкин (23 июня 2009, 04:49)
  2. А кошелёк злоумышленника заблокировали?

  3. Владимир Лапшин (23 июня 2009, 07:45)
  4. Крылышкин, а вот об этом я не подумал. Вообще отличная идея. Попробую сейчас написать. 🙂

  5. dert88 (2 июля 2009, 21:19)
  6. вот негодяй какой))
    а у меня на работе (когда работал) — вебмастер — стал тоже ссылками барыжить с корпоративного сайта — только в открытую

    в вашем случае — нет таких старых управленцев сайтом?!

  7. Владимир Лапшин (2 июля 2009, 21:36)
  8. Не, dert88, там в общем-то есть старый админ, конечно, но данные на него не похожи совсем. Да и сайт я фактически заново переделывал.

  9. dert88 (3 июля 2009, 17:42)
  10. ну, я так — к общему сведению, что такое случается:)

  11. Крикун (20 июля 2009, 15:08)
  12. Тоже столкнулся с такой же проблемой. В моем случае, саппорт все еще молчит. К тому же человек, который получил доступ к сайту, разместил не только код сапы. Пришлось принять ряд мер. Если кому интересно — http://www.heavyscream.ru/2009/07/20/vzlom-sayta-i-ustanovka-sape/

  13. sudmed (26 августа 2009, 15:28)
  14. Крылышкин, а не подскажите на каком собственно основании можно заблокировать WM-кошелек хакера?
    Если никаких транзакций между кошельками пострадавшего и хакера не было, то в чем конкретно можно выразить суть претензии при обращении в арбитраж WM?

Напишите комментарий