- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Похоже, обычный себе или дор с клоакой или просто ссылки подставлялись. По выше написанному адресу скорее всего брался контент.
Сегодня просматривал свое хозяйство по ftp, натолкнулся на незнакомые файлы conect.php😡 Удалил к е..ням собачьим их. Захожу на сайты - пишет что-то типа error ... include "conect.php". Пришлось это говно еще из index.php вычищать на нескольких сайтах. Движки везде разные - wordpress, dle, shopcms, vam shop и т.д. Пароль от ftp храню в голове, ни где не сохранял и не записывал. Вопрос - как эта хрень ко мне попала? Или уже хостеры до того ох...ели, что втыкают всякое уродство в скрипт клиенту?😡😡😡
Работая раньше в крупном хостинге постоянно наблюдал сканирование сайтов клиентов на виртуальном хостинге. Бот, обычно с зарубежного IP-адреса, в несколько потоков обходит различные сайты на предмет поиска дыр в скриптах по алгоритмам, которые в него заложены. Чаще страдают владельцы сайтов, которые редко обновляют движки своих сайтов.
Через найденную дыру подсаживают разных зловредов, от простых рекламных ссылок, до загрузки трояна. Т.к. делается это автоматически, а не в ручную, то получается очень большой охват сайтов, т.е. в сумме дается достаточный эффект, чтобы это было интересно злоумышленникам.
Только зачем им кривой левый код на чужих сайтах - непонятно. Кстати, лишних папок на хостинге я не обнаружил.
Код - не кривой, а очень профессионально написанный.
По сути - это rootKit на php, имеет собственный уникальный идентификационный номер (для контроля и автоматического учета вломанных сайтов), позволяет удаленно работать на Вашем хостинге - загружать/копировать/стирать файлы.
Кроме этого, нужным поисковикам (Google, Googlebot, Yandex, YaDirectBot) подставляет на Вашу страницу ИМЕННОЙ блок ссылок (&user=НЕ ПОНЯЛ КАКОЙ <- тут передаётся ID юзера, который Вас ломанул и ему будет идти бабло).
Блок ссылок загружается с http://vip-base.biz/ индивидуально для каждого вломанного сайта.
Сделано очень грамотно, всё автоматизировано и работает само. Сканируют хостинги, на предмет дырявых движков, ставят этот rootKit и получают возможность поставить на сайтах ссылки.
Зачем исковеркали Ваш robots - непонятно, а страницы из Яндекса вылетели - АГС сработал из-за множества исходящих ссылок.
И, похоже, они придумали, как эту фигню прикрутить к бирже ссылок, поскольку это хозяйство надо как-то масштабно монетизировать.
PS: Хостер тут на при чем, он такой фигнёй заниматься не будет. Это архаровцы с vip-base . biz работают.
Можно успешно дор залить в папку на сайт и никакие биржи ссылок не понадобятся.
Давно ожидаемая пакость. Ту же "атаку Гумблара" с высадкой троянских загрузчиков уже сколько времени проворачивают чуть не в промышленных масштабах, а здесь все еще проще. Rootkit'ом это называть немножко громко... но в любом случае, это годный инструмент для автоматического внедрения произвольных скриптов в нужные места.
И не все даже заметят, что с сайтом что-то случилось.
Насчет биржи не похоже, скрипт реагирует только на юзер-агенты ПС, а там нужно еще и ботам биржи отдавать контент с добавлениями. Возможно, у них своя биржа. А приведенный скрипт, похоже, заготовка, в которой установщик забыл/не успел прописать идентификатор. На всякий случай проверьте, не завелось ли еще что-то лишнее - скриптик проводит установку в какую-то директорию какого-то файла .php - имена файла и директории он получает "из Центра". Возможно, запасной "микрошелл" на случай, если connect.php обнаружат и вычистят.
Тоже "познакомился" с этим скриптом. Симптомы аналогичные: движок DLE, хостинг Jino, правда подключался config.php из файла dbconfig.php. Жесть. Причём доступ по FTP доступен только с моего ip-адреса. Как они это делают?
Тоже "познакомился" с этим скриптом. Симптомы аналогичные: движок DLE, хостинг Jino
Пока у пострадавших только движки и хостинг совпадают. 😎
вполне возможен взлом хостинга. у меня тот же connect.php появлялся, но на джумле и нищебродских хостингах (заказчик сэкономил)
такая же фигня. хост jino, двиг dle.
Скрипт проверяет кто вы, если вы не поисковик, то ничего не происходит. а вот если вы поисковик, то вам показывается такая фигня...
пройдитесь по системе сканером (а лучше несколькими) на предмет троянов. Мне раньше помогло, был неприятно удивлен сколько гадости пропускает НОД, когда увидел у себя на сайтах нечто подобное.