- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Может быть, кому-то будет полезным.
Итак, совершенно случайно, зайдя с мобильника (3g, мегафон) проверить работоспособность сайта обнаружил редирект на мобильные подписки.
Айболит ( www.revisium.com/ai/ ) ничего не нашел.
Был выполнен поиск по "base64_decode" и обнаружено следующее:
Название переменной показалось странным. Зашел в файл - так и есть, бэкдор.
Содержимое:
Последнюю строчку поправил таким образом:
И выполнил скрипт. Получил миленький файловый менеджер по своему сайту.
Еще нашел такой же бэкдор с названием файла:
Причину нашел. Дальше надо было искать сам редирект.
Тут пришлось повозиться чуть долше. По дате изменения ничего найти не удалось, так как злоумышленник ее подделал.
Пришлось руками перебирать все заюзанные в темлейте .js файлы на предмет необычного кода.
В итоге нашлось вот что:
Сие счастье подгружало код с адреса
И уже этот код редиректил мобильных юзеров на всякую гадость. Косят под счетчик я.метрики, гады.
Так что вот, если у кого возникнет похожая проблема, найти сам редирект может помочь поиск по fromCharCode.
Ну и в заключение. Страна должна знать своих героев. Whois инфа по yadro.im
Хорошая фамилия, гуглится легко.
Итак:
ФИО: Гайтына Егор Викторович
Реквизиты (данные из ЕГРИП):
ОГРНИП: 310233536100012
Дата внесения в реестр: 27.12.2010
ИНН: 233507433072
ОКПО: 0176250514
ОКАТО: 03221501 - Краснодарский край, Районы Краснодарского края, Кореновский, Города районного подчинения Кореновского р-на, Кореновск
ОКТМО: 03621101 - Кореновский муниципальный район, Кореновское городское поселение Кореновского района
Адрес, меcтоположение (по ОКАТО 03221501000): Город Кореновск
Основной вид экономической деятельности: 52.24.2 - Розничная торговля кондитерскими изделиями
Хакер-сладкоежка, фигли :bl:
И вообще, богатая биография у человека:
workandjob.ru/38005840/2013/01/24/38005840.html
http://cy-pr.cn/206867-s.html
Другие сайты на этом же серваке:
games.multpult.net
goroskop.pp.ua
jwomans.ru
megafaq.info
multpult.net
muzmp3.pp.ua
ossinfo.ru
ruskredits.ru
sminecraft.ru
yadro.im
znak-scorpio.com
А дыру в безопасности закрыли то?:)
А дыру в безопасности закрыли то?:)
На 100% не удалось установить, через какую уязвимость внедрили бэкдор, но предполагаемые дыры закрыли, да.
filmakarov, Для регистрации .IM документов неспрашивают, а вот за публикацию персональных данных без согласия персоны или обвинение персоны в чём-либо без доказательств, можно ещё и получить от адвокатов персоны очень милый такой штраф.
за публикацию персональных данных без согласия персоны или обвинение персоны в чём-либо без доказательств, можно ещё и получить от адвокатов персоны очень милый такой штраф.
Там все данные - публичные: ОГРНИП, whois. А как только его "адвокаты" объявятся - будет ясно на кого взломы сайта вешать. Там ещё бабка надвое сказала, кому штраф светит, а кому crime record
filmakarov, Для регистрации .IM документов неспрашивают, а вот за публикацию персональных данных без согласия персоны или обвинение персоны в чём-либо без доказательств, можно ещё и получить от адвокатов персоны очень милый такой штраф.
я знал, что кто-нибудь мне обязательно скажет о публикации персональных данных, которые и так публичные :)
А вот насчет обвинений без доказательств - есть что-то в ваших словах. Доказать нашему суду причастность Егора ко взлому будет сложновато. Всегда можно сказать, что его сервер сломали и домен yadro.im юзали в незаконных целях точно также. Но я никого и не обвиняю, просто публикую информацию из гугла о владельце домена, который был использован в незаконных целях.
Абузы я хостеру и регистраторам все же накатал :)
filmakarov, с чего вы взяли, что это хакер? Возможно это такой же пострадавший человек, как и вы.
filmakarov, с чего вы взяли, что это хакер? Возможно это такой же пострадавший человек, как и вы.
Да, возможно и так.
можно сказать, что его сервер сломали и домен yadro.im юзали в незаконных целях точно также.
Просто уж больно домен "красивый" и удобный в этих целях.
Да и подразделы для каждого из атакованных сайтов вполне заметно и открыто созданы. Слишком заметно для владельца.
Единственное что, возможно домен регнули на левые данные, это да. Не знаю, просят ли в зоне .im документы.
как то плохо вы отчет ай-болита смотрели
как то плохо вы отчет ай-болита смотрели
Не в том месте написал про айболита )
Шелл нашли до того, как айболит успел отработать.
А вот уже сам редирект он не нашел.
У вас тоже шелл залили и мобильный редирект внедрили?
он и не должен !!
редирект - это следствие действий вредоносного скрипта, левая вставка - причина.
айболит ищет причины, а не следствия...