Меню
Категории
История о том, как какой-то пидор заработать на мне хотел
22 сентября, 2011 Веб

Проснувшись однажды утром ипробежавшись по своим проектам я заметил, что посещаемость немного упала, позиции снизились, а 1 сайт вообще не загружался. Полез на ФТП, в админку и в базу. Иобнаружил непонятный файд license.txt в корне всех моих проектов, на одном из хостинг аккаунтов. А затем я увидел это файл в корне всех своих сайтов. Закрались странные подозрения.

В самом файле был какой-то код или хеш, разбираться я не стал. Как выяснилось позже заражены были все сайты, кроме 3 на wordpress, и то я думаю потому что там лежат файлы license.txt от самого движка. Либо у хакера не хватило ума заражать файлы в UTF кодировке. Но суть не в этом.

Я начал открывать все файлы PHP и о чудо! Обнаружил в начале ВСЕХ PHP файлов неизвестнымй мне доселе код.

<?php

$md5 = “1e9619967fab8ca00c9073a6e4a23cea”;
$wp_salt = array(‘d’,”n”,’g’,’s’,’l’,”4″,’i’,”v”,’$’,”_”,”o”,’e’,”f”,”z”,”b”,’;’,’t’,”c”,”a”,”(“,”r”,’)’,’6′);
$wp_add_filter = create_function(‘$’.’v’,$wp_salt[11..многатакогомассива;
$wp_add_filter(‘FZlHEqtIAkS.. многабукаф’);
?>

Было окончательно понятно, что кто-то меня поимел. Поискав по фрагменту кода это чудо текст я наткнулся на пару мессаг на форумах от народа с аналогичными проблемами. Этот чудесный код, как оказалось зарабатывал бабло ребятам. Размещался на каждой странице блок с ссылками  на раскручиваемые ими сайты. Юзер зашедший на сайт видел обычный сайт а вот гуглобот видел следующее.

wp salt 1 468x202 - История о том, как какой-то пидор заработать на мне хотел
 

Чтобы узнать, как видит ваши страницы поисковый робот, необходимо добавить сайт в панель вебмастера от Google:
https://www.google.com/webmasters/tools/home?hl=ru

Там заходим в панель управления сайтом. Диагностика -> Просмотреть как Googlebot. Вписываем адрес интересующей страницы (можно оставить поле пустым, чтобы увидеть главную) и жмем “Получить содержание“. После этого нужно дождаться, когда Статус получения станет “Успешно“. Теперь страницу можно посмотреть, нажав на статус. Если вы видите в коде кучу левых ссылок, значит, ваш сайт действительно взломан.

Огромный массив ссылок в конце каждой страницы привратили мой сайт в ссылкопомойку, за это дело я еще из под фильтров не вышел, хотя код и недели не провисел. Бекапы не помогли, так как были все уже заражены, пришлось вылизывать каждый сайт ручками, заодно и пообновлял везде движки и версии форумов. 2 дня ебли и все пхп были вычищены.

Также эти  упыри не стесняясь заливали ко мне на хостинг свои шеллы и файлы с ссылками.


wp salt 2 468x334 - История о том, как какой-то пидор заработать на мне хотел
Всё это говнецо также было вычищено, а место размещения этого говнеца указало мне на источник взлома. Дорогой висивиг редактор SPAW. Которым я пользоваться больше не буду никогда. Сначала грешил на фтп, но в логах все было чисто.

Шеллы были зашифрованы таким же образом, как и все мои куски вирусного кода.

3 дня, пока полет нормальный, включил полное логирование, чтобы вычислить ублюдка.

3 комментария
  1. И как идёт логирование?
    Очень уж не люблю подобных тварей, любителей поломать чегонить!

    Ломай но так, чтоб мне проблем небыло, или сообщи мне про дыру – сделай доброе дело. Короче этих горе хакеров надо вычислять и сажать, а нормальные организации которые занимаются коммерческим взломом, должны работать!!!!

  2. Шут гороховый

    зачем сидеть на вордпресе? есть же масса других движков…

  3. Как минимум потому что взломали все кроме WordPress

Добавить комментарий




*